Uppgifter om händelseförloppet

Kunden fick 27.11.2023 ett samtal från brottslingar som påstod sig vara anställda hos banken X. Till följd av det föll kunden offer för ett bedrägeri. I kundens namn ansöktes det hos hennes bank A om en kredit på 13 000 euro och från hennes konto i banken A gjordes två gireringar, en på 10 000 euro kl. 15.33 och en på 2 900 euro kl. 15.57.

Krediten söktes i kundens bank A:s nätbank, och kreditavtalet bekräftades genom ett tal på kundens nyckeltalslista. Det ordningsnummer som motsvarade talet meddelade banken A via ett textmeddelande som kunden fick 27.11.2023 kl. 14.12. Betalningarna bekräftades genom tal på kundens nyckeltalslista. De ordningsnummer som motsvarade talen meddelade banken via textmeddelanden som kunden fick kl. 15.31 och kl. 15.55.

Kunden spärrade sina koder 27.11.2023 kl. 18.55.

Kundens yrkanden hos FINE

Kunden yrkar på att banken A ska ersätta henne 13 000 euro.

Den 27.11.2023 ringde en tjänsteman som sade sig vara från bank X och sade att kundens lån är beviljat. Kunden sade att hon inte har sökt om lån så han förenade vidare till en säkerhetsman som skulle granska stölden vidare. Tjänstemannen begär kod för att granska stölden. Tjänstemannen var så inkommen i bankens system troligen ”gammal banktjänsteman”. Mannen informerade om att kunden skall meddela banken och polisen i ärendet. Detta var rånaren själv som tagit lån på banken.

Från kreditbolaget kollades ingenting: Behöver kunden lån? Teckning [HR1] för lånet? Hur avbetalas lånet? Utbetalning skedde genast. Alltså banken har ingen kontroll på ”skurkkrediten”. Kunden borde skyddas mer att specialkrediten inte fås ut förrän efter 2 dagar och då blir skurken fast. Krediten saluförs inte mera från banken. Detta betyder att krediten var osäker för alla. Kunden har inte skrivit under på lånet utan det har tagits ut med elektronisk autentisering på kort tid, vilken inte skyddar kunden. Det är oacceptabelt att banken gör stora vinsten samtidigt som bristande robot-säkerhet gör att kunden kan luras på sina sparpengar.

Banken bör kolla uttagen med skurkroboten så att kryphål täpps igen. Alltså detta händer i Sverige enligt Dagens Nyheter. Kunden är inte nöjd med bankens agerande med robotkrediten. Uppgifter om pension och arbete stämmer inte.

Kunden handlade i god tro då hon fick tala med en sådan förtroendeingivande tjänsteman som kunde informera kunden hur hon skall anmäla stölden till banken och polisen. Kunden är oerfaren då det gäller den nya datatekniken och blev så förskräckt att hon inte kunde handla på rätt sätt mot den ljugande, vänligt rådgivande skurken. Kunden anser att hennes handling inte kan bedöms som grov vårdslöshet p.g.a. hennes ålder och oerfarenhet i nya datatekniken.

Tjänsteleverantörens bemötande

Ärendet gäller ett nätbedrägeri som kunden råkat ut för 27.11.2023. Kunden har fått avslag på sin ersättningsansökan av banken eftersom hon själv godkänt betalningarna i fråga med tal från nyckeltalslistan som begärts per textmeddelande. 

Händelseförloppet

Kunden har uppgivit att hon 27.11.2023 fått ett samtal från en man som uppgett sig ringa från banken X. Mannen hade sagt att kunden beviljats lån och under det långa samtalets gång har han meddelat att kundens dator blivit kapad.

Enligt bankens utredning har det gjorts två gireringar från kundens konto, till ett totalbelopp av 12 900 euro. Det togs även ut en Specialkredit på 13 000 euro i kundens namn. Gireringarna gjordes och krediten lyftes genom stark autentisering och kunden fick dessutom textmeddelanden med bekräftelsebegäran för transaktionerna. Gireringarna och uttaget av krediten bekräftades med tal på nyckeltalslistan som begärdes per textmeddelanden.

Den som utfört gireringarna och tog ut krediten hade således tillgång till alla delar av kundens bankkoder, det vill säga användarkoden, lösenordet samt de tal från nyckeltalslistan som begärdes i de textmeddelanden som gick till kundens telefon. Kunden spärrade sina koder 27.11.2023 kl. 18.55.

Gireringarna utfördes med följande uppgifter:
Datum                                27.11.2023 kl. 15.33
Belopp                               10 000,00 euro
Mottagarens namn            Y
Mottagarens konto            FIxx xxxx xxxx xx

Datum                                27.11.2023 kl. 15.57
Belopp                               2 900,00 euro
Mottagarens namn            X
Mottagarens konto            FIxx xxxx xxxx xxxx xx

Av säkerhetsskäl skickade banken följande textmeddelanden till telefonnumret som är kopplat till kundens nättjänst:
27.11.2023 kl. 14.12
  Du håller på att ingå ett Specialkredit avtal för 13 000 €. Bekräfta avtalet i vår tjänst med det tal som motsvarar talet 89 på nyckeltalslistan. [banken]

27.11.2023 kl. 15.31
  Du vill i vår tjänst betala 10 000,00 EUR på kontot FIxx xxxx xxxx xxxx xx. Bekräfta betalningen med det 272 talet på nyckeltalslistan. [banken]

27.11.2023 kl. 15.55
  Du vill i vår tjänst betala 2 900,00 EUR på kontot FIxx xxxx xxxx xxxx xx. Bekräfta betalningen med det 275 talet på nyckeltalslistan. [banken]

Textmeddelandena ovan har skickats till telefonnumret som är kopplat till kundens nättjänst och transaktionen bekräftades med det nyckeltal som motsvarade det ordningsnummer som nämnts i textmeddelandet. Kunden har alltså själv bekräftat avtalet för Specialkrediten och de två betalningarna och därmed givit sitt samtycke till betalningstransaktionen i enlighet med betaltjänstlagens 38 §. Därmed anser banken att kredituttaget och transaktionerna som kunden reklamerar inte är obehöriga enligt betaltjänstlagen och banken inte är ansvarig för uppkommen skada.

Bedömning

Det är ostridigt att den som lyft krediten och genomfört transaktionerna har haft i sin användning kundens nättjänstkoder. Då kunden själv bekräftat transaktionen behöver inte aktsamheten bedömas.

Angående den beviljade Specialkrediten har kreditgivaren vid ingåendet av kreditavtalet bedömt kundens kreditvärdighet på det sätt som krävs enligt konsumentlagstiftningen och med hänsyn till kreditens belopp. Kundens betalningsförmåga har också utretts och det har bedömts att kunden har tillräcklig betalförmåga för att återbetala krediten (amorteringsrat 222 euro/mån.). Uppgifterna som har lämnats i kreditansökan motsvarar inkomst och låneskötseluppgifter som kan verifieras från bankens system. Syftet med konsumentlagstiftningen är att undvika att bevilja lån åt sådana konsumenter som inte har förutsättningar att återbetala krediten. Vid ifrågavarande kreditansökan har det inte framkommit sådana omständigheter som visat att kunden skulle vara oförmögen att återbetala krediten.

Kreditgivaren har inte skyldighet att utreda kreditens användningsändamål eller behov. Ifrågavarande Specialkredit är en kredit utan säkerhet då inga säkerheter behövs, och krediten kan betalas in på kundens konto direkt, med beaktande av begränsningen för överföring av medel (överföring av medel förbjuden kl. 23-07), vilket banken har följt.

Ifall det skulle anses att kunden inte givit sitt samtycke till transaktionen, bör det anses att kunden agerat grovt vårdslöst genom att ha uppgett sina nyckeltal både vid inloggning, ingående av kreditavtal och utförande av transaktionerna. Betaltjänstlagen förutsätter att kunden agerar aktsamt då denne använder betalningsinstrument. Nyckeltalslistan är endast tillgänglig fysiskt och enligt kundens utsago var den i kundens besittning. Med beaktande av detaljerna i fallet anser banken som en helhetsbedömning att kunden agerat såsom det i betaltjänstlagen avses med grov vårdslöshet.

Kunden svarar för skadan då obehörig användning av betalningsinstrument beror på att kunden av vårdslöshet försummat sina förpliktelser enligt lagens 53 §:s 1 moment och de allmänna villkoren för bankens koder och nättjänsten och då vårdslösheten anses vara grov. Kunden ansvarar för att förvara sina koder omsorgsfullt då det slutligen är endast betaltjänstanvändaren som kan påverka hur och i vilka omständigheter denne förvarar sitt betalningsinstrument.

Kunden har blivit utsatt för ett bedrägeri. Den som är ansvarig för skadan är i första hand bedragaren, inte banken, och i förhållandet mellan kunden och banken ansvarar kunden för transaktionerna i fråga.

Banknämndens begäranden om tilläggsutredning

Banknämnden har bett banken utreda från vilken IP-adress krediten i fråga söktes och gireringarna i kundens nätbank gjordes 27.11.2023 och om det är fråga om samma IP-adress som vanligtvis varit i bruk när kunden använt nätbanken. Banken har också ombetts utreda om den 13 000 euro stora kredit som sökts i kundens namn betalades in på kundens brukskonto direkt efter att det nyckeltal som angetts i bankens textmeddelande till kunden 27.11.2023 kl. 14.12 hade matats in i kundens nätbank, eller om inbetalningen av krediten på kundens konto har förutsatt ytterligare någon åtgärd av gärningsmännen.

För att missbruk ska kunna identifieras är det inte ändamålsenligt att ge akt på IP-adressen, eftersom kunderna bör ha möjlighet att uträtta bankärenden när de befinner sig utomlands, och t.ex. användning av VPN eller antivirusprogram gör att IP-adressen inte alltid är en och samma. I kundens fall var IP-adressen inte den som kunden i regel använder.

I samband med låneansökan bekräftas det till vilket konto lånet lyfts, och efter undertecknandet har inga ytterligare åtgärder krävts. För undertecknandet av låneansökan har det behövts en tilläggsbekräftelse, där ett tal på nyckeltalslistan krävdes. Ett meddelande om tilläggsbekräftelsen gick till kunden via textmeddelande, och kunden bekräftade händelsen 27.11.2023 kl. 14.14.29.

Banknämnden har också bett banken precisera sitt svar när det gäller beviljande av krediten och fullgörandet av skyldigheter enligt 7 kap. 14 och 16 a § i konsumentskyddslagen samt särskilt med avseende på hur banken har kontrollerat att de uppgifter som brottslingarna gett i kreditansökan stämmer.

Från kreditbeviljningssynpunkt kan man konstatera att det automatiska beslutsfattandet om krediter består av en helhetsriskbedömning som är baserad på en multivariat metod, bedömning av sökandens betalningsförmåga samt kontroller som bygger på bankens interna och externa källor. Kundens kreditansökan har riskbedömts i överensstämmelse med den process som då var normal. Kundens kredituppgifter har kontrollerats, liksom också de övriga uppgifter som fåtts ur externa källor, t.ex. uppgifter i befolkningsregistret. Dessutom har de uppgifter som sökanden uppgett i ansökan kontrollerats och jämförts med bankens interna uppgifter, bland dem uppgifter om kontotransaktioner, och kundens betalningsförmåga har bedömts. Uppgifterna i ansökan motsvarade bankens interna uppgifter (egen bostad, pensionär, låneskötselutgifter). Inkomstuppgifterna i ansökan hade dock angetts i överkant. Att inkomstuppgifterna var lite i överkant hade ingen stor inverkan på kreditbeslutet i och med att det konstaterades att de övriga uppgifterna stämde och kunden alltid hade skött sina ekonomiska angelägenheter i banken oklanderligt. I kreditbeslutet konstaterades det att betalningsförmågan var tillräcklig för krediten, således godkändes beslutet i den automatiska kreditprocessen utifrån en helhetsbedömning. Enligt bankens uppfattning har kunden varit kreditvärdig.

Motivering

Bankens åtgärder för att varna kunder

För att förhindra missbruk har banken aktivt varnat sina kunder beträffande nätfiske och bluffmeddelanden bl.a. på bankens sidor:
24.5.2023 Lotteribedrägerier sprider sig — så här känner du igen ett bedrägeri
22.6.2023 Varning: Nätfiskemeddelanden uppmanar dig ringa bluffnummer
28.7.2023 Varning: Brottslingar fiskar efter [bankens] koder med textmeddelanden och e-post-meddelanden
10.11.2023 Varning: Bedragare på marknadsplatser för begagnade varor
15.11. 2023 Varning: Bluffsamtal och nätfiskemeddelanden i [bankens] namn
Banken har instruerat kunder att inte lämna ut sina nätbankskoder ifall någon frågar per telefon eller e-post och gett anvisning om att man inte får logga in på nätbanken via en länk. Dessutom har banken gett anvisningar om att alltid läsa bekräftelsebegäran noggrant. Enligt bankens anvisningar ska man aldrig bekräfta transaktioner som man själv inte har genomfört.

Reglering och avtalsvillkor

Banken hänvisar till 53 och 62 § i betaltjänstlagen samt till de allmänna villkoren för bankens koder och nättjänster.

I ärendet är det ostridigt att den som utfört transaktionerna och tog ut krediten således hade tillgång till alla delar av kundens bankkoder, det vill säga användarkoden, lösenordet samt de tal från nyckeltalslistan som begärdes i de textmeddelanden som gick till kundens telefon. I första hand åberopar banken att kunden själv gett samtycke till låneuttaget och transaktionerna i fråga. l andra hand att den som loggat in på nätbanken måste ha känt till alla delar av kundens nättjänstkoder: användarkod, lösenord och nyckeltal från nyckeltalslistan och då kunden själv bekräftat transaktionerna, att handlingen som en helhet bör bedömas åtminstone som grov vårdslöshet. I förhållande till banken ansvarar kunden själv för transaktionerna.

Utredningar

Utöver parternas skrivelser angående klagomålet har följande handlingar getts in till nämnden:
- Allmänna villkor för bankens koder och nättjänsterna
- Specialkredit-avtal
- Villkor för Specialkredit
- Tidningsartikel (12.5.2024) ”Banker ska förhindra bedrägeri – inte främja det”

Beslutsrekommendation

Frågeställning

För att avgöra ansvarsfördelningen mellan kunden och banken behöver Banknämnden bedöma om den obehöriga användningen av kundens betalningsinstrument kan anses vara en följd att kunden av vårdslöshet har försummat sina skyldigheter enligt 53 § 1 mom. i betaltjänstlagen samt graden av kundens eventuella vårdslöshet.

Tillämplig lagstiftning och villkor

I 38 § (Betalarens samtycke till att en betalningstransaktion genomförs) 1 mom. i betaltjänstlagen föreskrivs som följer:
En betalningstransaktion får genomföras endast om betalaren har gett sitt samtycke. En betalningstransaktion som betalaren inte har samtyckt till på avtalat sätt anses vara obehörig.

I 53 § 1 mom. i betaltjänstlagen föreskrivs som följer:
Innehavaren av ett betalningsinstrument ska använda detta i enlighet med villkoren för beviljande och användning. Innehavaren ska i synnerhet vidta skäliga åtgärder för att skydda betalningsinstrumentet och tillhörande personliga säkerhetsbehörighetsupgifter. Villkoren för beviljande och användning av betalningsinstrumentet får inte vara ogrundade, oskäliga eller diskriminerande.

I 54 § 1 mom. i betaltjänstlagen föreskrivs som följer:
Innehavaren av ett betalningsinstrument ska utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som tjänsteleverantören utsett om att betalningsinstrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.

I 62 § i betaltjänstlagen föreskrivs som följer:
En betaltjänstanvändare som har ingått avtal om ett betalningsinstrument med en tjänsteleverantör ansvarar för användningen av ett betalningsinstrument som har förlorats eller orättmätigt innehas av någon annan eller för annan obehörig användning av betalningsinstrumentet endast om den obehöriga användningen beror på att betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet
1) har överlåtit det till någon som inte är behörig att använda det,
2) av vårdslöshet har försummat sina skyldigheter enligt 53 § 1 mom., eller
3) har försummat att utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som denne utsett om att betalningsinstrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.
I de fall som avses i 1 mom. 2 och 3 punkten är betaltjänstanvändarens ansvar för obehörig användning av betalningsinstrumentet högst 50 euro.
Denna begränsning tillämpas dock inte om betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet har handlat avsiktligt eller grovt vårdslöst.
Betaltjänstanvändaren ansvarar inte för obehörig användning av betalnings-instrumentet
1) till den del som betalningsinstrumentet har använts efter att tjänsteleverantören eller någon annan som denne utsett har underrättats om att betalningsinstrumentet förlorats, orättmätigt innehas av någon annan eller används obehörigen,
2) om tjänsteleverantören har försummat att se till att en innehavare av ett betalningsinstrument har möjlighet att när som helst göra anmälan enligt 1 punkten,
3) om betalningsmottagaren vid användningen av betalningsinstrumentet inte vederbörligen har försäkrat sig om betalarens rätt att använda instrumentet, eller
4) om tjänsteleverantören inte har krävt stark kundautentisering av betalaren.
Trots 3 mom. är betaltjänstanvändaren ansvarig för obehörig användning av ett betalningsinstrument, om användaren eller någon annan innehavare av betalningsinstrumentet avsiktligt har lämnat en oriktig anmälan eller annars handlat bedrägligt.

I 63 § (Tjänsteleverantörens ansvar för obehöriga betalningstransaktioner) 1 mom. i betaltjänstlagen föreskrivs som följer:
Om en betalningstransaktion har genomförts obehörigen och om inte något annat följer av 62 § ska tjänsteleverantören till den kund vars medel har använts för att genomföra transaktionen omedelbart och senast följande bankdag efter det att tjänsteleverantören har noterat eller underrättats om transaktionen återbetala transaktionens belopp till kunden eller återställa det debiterade betalkontots kontoställning till vad den skulle ha varit om debiteringen inte hade ägt rum.

I 7 kap. 14 § (Skyldighet att bedöma en konsuments kreditvärdighet.) i konsumentskyddslagen föreskrivs som följer:
Innan ett kreditavtal ingås ska kreditgivaren bedöma om konsumenten har förutsättningar att fullgöra sina skyldigheter enligt kreditavtalet (konsumentens kreditvärdighet). Bedömningen ska grundas på tillräckliga uppgifter om konsumentens inkomster och övriga ekonomiska omständigheter. Om parterna senare kommer överens om att höja kreditbeloppet eller kreditgränsen, ska kreditgivaren försäkra sig om att informationen om konsumenten är aktuell och, om kreditbeloppet eller kreditgränsen höjs betydligt, bedöma konsumentens kreditvärdighet på nytt innan avtal ingås om höjningen.

I 7 kap. 16 a § (Lämnande av kredit) i konsumentskyddslagen föreskrivs som följer:
En kreditgivare ska ange sina principer för lämnande av konsumentkrediter.
Kreditgivaren får lämna kredit till en konsument endast om bedömningen av konsumentens kreditvärdighet visar att de skyldigheter som följer av ett kreditavtal sannolikt kommer att fullgöras på det sätt som avtalet förutsätter.

Utöver betaltjänstlagen gäller bankens allmänna villkor för bankens koder och nättjänsterna (villkor för bankkoderna). Avsnittet Ditt ansvar då du använder din kod som betalningsinstrument i villkoren för bankkoderna motsvarar de till förmån för konsumenter tvingande bestämmelserna i 62 § i betaltjänstlagen.

I avsnittet Hur koder ska förvaras och hur de får användas i de allmänna villkoren för bankens koder och nättjänster (villkoren för bankkoderna) sägs följande:
Den kod som du fått är personlig. Koden eller ens en del av den får inte över-låtas åt någon annan person, inte ens åt en medlem av samma familj och heller inte åt en separat applikation eller tjänst, om tillämpningen eller tjänsten inte är godkänd av [banken]. De applikationer och tjänster som är godkända av [banken] anges på adressen [banken].fi. Om du överlåter koden åt tredje man, ansvarar du för handlingar som tredje man vidtar i ditt namn.
Koder får inte användas för identifiering i tjänster som tillhandahålls av någon som är föremål för internationella sanktioner eller över vilken någon som är föremål för internationella sanktioner har bestämmande inflytande. Koder får inte heller användas för ändamål som strider mot lagen eller god sed eller som annars står i konflikt med de samhällsansvarskriterier som [banken] offentliggjort.
Koden eller en del av den får inte:
- uppges muntligt för en utomstående som frågar efter dem per telefon eller på något annat sätt. Då du ringer till [banken]:s telefontjänst knappar du in koden i din telefon. Likaså knappar du in din kod i din telefon om du vill bekräfta att ett inkommande samtal kommer från [banken];
- lämnas ut till följd av en begäran som kommit per sms, e-post eller från någon annan app, om det inte är en tjänst eller app som godkänts av [banken];
- lämnas ut på basis av en begäran som kommit i ett e-postmeddelande eller något annat digitalt meddelande eller genom att logga in i [banken]:s digitala tjänster via en länk som avsänts per e-post eller på ett annat digitalt sätt.
- Den film som innehåller användarkoden eller lösenordet eller en dylik med vilken delar av koden har överlåtits, måste förstöras och användarkoden och lösenordet får inte skrivas upp eller sparas i en lättidentifierbar form. Om Koderna har överlämnats elektroniskt, ska du själv skydda koderna och försäkra dig om att utomstående inte kan se uppgifterna på skärmen och att utom stående inte kan få tillgång till uppgifterna då du slutat att använda tjänsten.
Du ska förvara din kod och dess delar omsorgsfullt och åtskilt från varandra så att ingen utomstående, inte ens någon som hör till samma familj eller någon av ett företags anställda som inte har behörighet att använda dem, kan få dem i besittning. Olika delar av koden får inte förvaras på samma plats i hemmet, och inte till exempel i plånboken eller handväskan.
Du ska regelbundet på det sätt som omständigheterna kräver försäkra dig om att Koden och dess delar finns kvar.
Då du loggar in i [banken]:s digitala tjänster ska du skydda utrustningen, exempelvis den dator, den telefon eller det separata tangentbord som du använder koden med så att ingen kan få koden eller delar av den i besittning.
[banken]:s digitala tjänster får inte användas på en dator eller med annan utrustning där man upptäckt eller som man misstänker har ett skadligt program. Du får inte heller överlämna din dator eller någon annan utrustning för distansanvändning av någon utomstående då du med utrustningen använder din kod eller delar av den.

I 7 kap. 19 § (Begränsning som gäller tidpunkten för överlåtande av medel) i konsumentskyddslagen föreskrivs som följer:
Om en konsumentkredit söks och beviljas mellan klockan 23 och 7, får de med stöd av kreditavtalet beviljade medlen betalas ut till konsumenten först efter klockan 7. Bestämmelserna i denna paragraf tillämpas inte på en höjning av kreditgränsen för en fortlöpande kredit.

I avsnittet Du ska anmäla om koden försvunnit eller kommit i tredjemans kännedom eller besittning i villkoren för bankkoderna sägs följande:
Du ska omedelbart anmäla till [banken] om koden eller en del av den försvinner eller kommer obehörigt i någon annans kännedom eller besittning eller om du misstänker att de kommit i någon annans kännedom eller besittning obehörigt. Anmälan ska ske också ifall endast en del av Koderna har försvunnit eller kommit i någon annans kännedom eller besittning obehörigt.
Du kan göra anmälan per telefon till telefonnumret för [banken]:s spärrtjänst (24 h/7 dygn) som uppges på adressen [banken].fi. Under öppettiden för [banken]:s kundtjänst kan du göra anmälan också till det telefonnummer som [banken] uppgett eller genom att personligen besöka [banken]:s kontor.
Anmälan om att andra identifieringsverktyg och certifikat som [banken] godtar har försvunnit ska göras i enlighet med användarvillkoren för identifieringsverktyget eller certifikatet.

I underavsnittet Användningen av [banken]:s digitala tjänster i avsnittet Hur Koderna kan användas i villkoren för bankkoderna sägs följande:

Du ska identifiera dig till exempel i [banken]:s digitala tjänster genom att mata in din användarkod och ditt lösenord samt vid behov talet från ditt bekräftelseverktyg. Olika elektroniska tjänster kan till innehåll och funktion avvika från varandra i fråga om identifieringsmetoden. Uppgifterna som krävs av dig kan alltså variera i olika kanaler.
Du kan identifiera dig i [banken]:s digitala tjänster också med ett annat certifikat eller identifieringsverktyg som [banken] tillhandahåller eller godtar och som beviljats av Tredje part. Om ett avtal om ett certifikat eller identifieringsverktyg som Tredje part tillhandahåller i fråga om förvaring och/eller användning av identifieringsverktyget eller certifikatet står i konflikt med villkoren om [banken]:s koder och digitala tjänster, ska villkoren för [banken]:s koder och digitala tjänster i första hand tillämpas.
Du loggar in i tjänsten [banken].fi genom att skriva adressen [banken].fi på webbläsarens adressrad. Före inloggningen i tjänsten [banken].fi är du skyldig att kontrollera att webbplatsen [banken].fi är skyddad med SSL-kryptering.
Vid SSL-kryptering ska vid låssymbolen på webbläsarens adressrad stå att certifikatet har beviljats ett bolag som hör till [banken]Gruppen (t.ex. [X]). SSL-krypteringen syns också i olika webbläsare till exempel som att adressfältet är grönt.
Du får inte ge tillträde till [banken]:s digitala tjänster åt Tredje part, till exempel personer, appar eller tjänster. Det är förbjudet att använda till exempel tjänster som tar över kontrollen av kundens session i [banken]:s digitala tjänster. Det som sägs ovan begränsar inte din rätt att använda sådana auktoriserade betalningsinitieringstjänster eller registrerade kontoinformationstjänster som avses i betaltjänstlagen.

Bedömning

Händelseförloppet

Banknämnden anser att det i fallet har klarlagts att kunden har blivit vilseledd av brottslingar som ringt till henne. I tron på att hon kommunicerade med sin bank har hon under telefonsamtalet muntligen gett sina bankkodsuppgifter för att uppringaren skulle kunna kontrollera krediter som sökts i kundens namn. Genom att obehörigen använda informationen som fåtts på det här sättet har brottslingarna loggat in i kundens nätbank, där ansökt om kredit i kundens namn och skapat betalningsuppdrag beträffande gireringar från kundens brukskonto till utomstående samt bekräftat dessa betalningar.

Kundens samtycke till genomförande av betalningstransaktionen

Även om uppgifter om betalningarna har kunnat ses i de textmeddelanden från banken som kunden tagit emot, har kunden ändå inte själv matat in de i meddelandena angivna nyckeltalen i sin nätbank, i stället har hon under telefonsamtalet berättat nyckeltalen för en person som påstått sig vara anställd vid banken. Gireringsuppdragen har på det sätt som nämns ovan skapats och bekräftats av brottslingar som tagit sig in i kundens nätbank via sin egen apparat, och därmed anser Banknämnden att kunden inte själv har bekräftat gireringarna och alltså inte heller har gett sitt i 38 § i betaltjänstlagen eller i villkoren för bankkoderna avsedda samtycke till genomförande av betalningsuppdragen. Därmed är gireringarna att betrakta som obehöriga i den bemärkelse som avses i betaltjänstlagen.

Överlåtelse av bankkoder och betalningsinstrument

Banknämnden konstaterar att enligt den regeringsproposition som ledde till att betaltjänstlagen stiftades (RP 169/2009 rd) avses med det i lagens 62 § 1 mom. 1 punkt använda uttrycket överlåtelse av ett betalningsinstrument till någon som inte är behörig att använda det att överlåtelsen av betalningsinstrumentet är frivillig och medveten.

I detta fall har kunden medan hon berättade vilka hennes bankkoder var trott sig kommunicera med sin bank, och därmed anser Banknämnden att kunden inte medvetet har överlåtit sina bankkodsuppgifter till en person som inte varit behörig att använda dem och att det i fallet därmed inte är fråga om sådan överlåtelse av koder som avses i betaltjänstlagen och i villkoren för bankkoderna.

För Banknämnden återstår därmed att bedöma om kunden ska ansvara för den obehöriga användningen av hennes bankkoder enligt 62 § 1 mom. 2 punkten i betaltjänstlagen. Nämnden ska med andra ord bedöma om den obehöriga användningen av bankkoderna beror på att kunden av vårdslöshet har försummat sina skyldigheter enligt lagens 53 § 1 mom. och enligt villkoren för bankkoderna samt graden av kundens eventuella vårdslöshet.

Bedömning av kundens förfarande

Enligt villkoren för bankkoderna är den kod som kunden fått personlig. Koden eller ens en del av den får inte överlåtas åt någon annan person, inte ens åt en medlem av samma familj. Koden eller en del av den får inte uppges muntligt för en utomstående som frågar efter dem per telefon eller på något annat sätt. Då kunden ringer till bankens telefontjänst knappar kunden in koden i sin telefon. Likaså knappar kunden in sin kod i sin telefon om kunden vill bekräfta att ett inkommande samtal kommer från banken.

Banknämnden konstaterar att villkoren för bankkoderna entydigt förbjuder kunderna att överlåta sina koder och att berätta dem muntligen för någon i telefon. Bankkoderna ska inte ens överlåtas åt eller berättas för banken. Vidare anser nämnden att det när händelsen ägde rum redan var allmänt känt att bankkoderna som är avsedda att vara personliga aldrig ska överlåtas åt eller berättas muntligen för någon, inte ens någon som t.ex. påstår sig vara bankanställd eller polis.

Banknämnden anser därför att kunden av vårdslöshet, på ett sätt som visar på allvarlig ovarsamhet, försummade sina skyldigheter enligt 53 § 1 mom. i betaltjänstlagen och enligt villkoren för bankkoderna när hon i telefon berättade sina bankkodsuppgifter för en person som gav sig ut för att vara bankanställd.

Banknämnden anser vidare att kunden efter att hon från sin bank hade fått ett textmeddelande vars innehåll entydigt gällde bekräftelse av ett kreditavtal borde ha förstått att inte berätta det nyckeltal på nyckeltalslistan som motsvarade ordningsnumret i textmeddelandet. På motsvarande sätt borde kunden efter att hon fått textmeddelandet om bekräftelse av den första betalningen, med uppgifter om den betalning som bekräftelsen gällde, ha förstått att inte berätta det nyckeltal på nyckeltalslistan som motsvarade ordningsnumret i textmeddelandet. Med beaktande av att textmeddelandet till kunden från banken var bankens sedvanliga utskick om betalningsbekräftelse som börjar med orden ”Du vill i vår tjänst betala..” och kunden där kunde se uppgifter om den betalning som skulle bekräftas, anser nämnden att även om det under telefonsamtalet skulle ha påståtts muntligen att nyckeltalet behövdes för någon annan åtgärd, borde kunden senast i det skedet ha förstått att avbryta kommunikationen och låta bli att berätta det begärda nyckeltalet för uppringaren. Om kunden senast i det skedet till exempel genom att själv kontakta sin bank, t.ex. ringa till den, för att fråga om tillvägagångssättet var korrekt, skulle den skada som den obehöriga användningen av kundens bankkoder orsakade ha kunnat undvikas.

Eftersom kunden utan att ifrågasätta saken berättade bankkodsuppgifter i telefon och gav de begärda nyckeltalen för bekräftelse av kreditavtalet och av gireringarna anser Banknämnden att kundens förfarande som helhet visar på synnerligen allvarlig ovarsamhet från hennes sida. På basis av helhetsutredningen i ärendet och med beaktande av att det i textmeddelandet till kunden från banken om bekräftelse av kreditavtalet berättades vilken åtgärd meddelandet gällde och det i de sedvanliga textmeddelandena till kunden från banken om bekräftelse av betalningarna tydligt sades att kunden höll på att göra betalningar och hur stora betalningarna som skulle bekräftas var, anser nämnden att kundens förfarande som helhet visar på grov vårdslöshet som avses i betaltjänstlagen. Därmed ansvarar kunden för den av gireringarna orsakade skadan i förhållandet mellan banken och kunden.

Bankens förfarande vid kreditbeviljandet

Kreditgivarna är enligt konsumentskyddslagen skyldiga att bedöma konsumentens kreditvärdighet, med andra ord att bedöma om konsumenten har förutsättningar att fullgöra sina skyldigheter enligt kreditavtalet, och enligt den lag som gällde när denna händelse inträffade skulle bedömningen grundas på tillräckliga uppgifter om konsumentens inkomster och övriga ekonomiska omständigheter. Vidare får kreditgivaren lämna kredit endast om bedömningen av kreditvärdigheten visar att de skyldigheter som följer av ett kreditavtal sannolikt kommer att fullgöras på det sätt som avtalet förutsätter. Om en konsument-kredit söks och beviljas kl. 23–7, får de med stöd av kreditavtalet beviljade medlen betalas ut till konsumenten först efter klockan 7.

Kunden har i detta fall hänvisat till att banken försummat sina skyldigheter när krediten i fråga söktes i kundens namn. Enligt kunden granskade banken inte alls uppgifterna, och de uppgifter som brottslingarna gav om hennes pension och arbete stämde inte.

Enligt banken består det automatiska beslutsfattandet om krediter av en helhetsriskbedömning som är baserad på en multivariat metod, bedömning av sökandens betalningsförmåga samt kontroller som bygger på bankens interna och externa källor, och kreditansökan riskbedömdes i överensstämmelse med den process som då var normal. Uppgifter om kunden som erhållits ur externa källor granskades, och dessutom granskades uppgifterna i ansökan och jämfördes med bankens interna uppgifter. I kreditbeslutet konstaterades det att betalningsförmågan var tillräcklig för krediten (amorteringsrat 222 euro/mån.) och kunden var kreditvärdig, således godkändes beslutet i den automatiska kreditprocessen utifrån en helhetsbedömning. Banken har bedömt kundens kredit-värdighet på det sätt som krävs enligt konsumentlagstiftningen och med hänsyn till kreditens belopp.

Banknämnden anser utifrån den utredning som lagts fram i ärendet att banken bedömt kreditsökandens betalningsförmåga på det sätt som krävs enligt konsumentskyddslagen och att banken också på det sätt som krävdes enligt lagen sådan den då lydde strävade efter att med rimliga åtgärder säkerställa att uppgifterna som kreditsökanden hade gett stämde. Därmed kan det inte anses att banken i ärendet på något betydande sätt försummade sina på konsumentskyddslagen baserade skyldigheter som kreditgivare vid beviljandet av den kredit som hade sökts med kundens bankkoder.

Slutsats

Banknämnden rekommenderar inte att ersättning beviljas.

Banknämnden var enhällig.

BANKNÄMNDEN

Ordförande Sillanpää                                      
Sekreterare Hidén

Medlemmar

Atrila
Ketola
Makkonen
Punakivi