Haku

FINE-65394-H0X4X

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-65394-H0X4X (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 26.05.2025

Miten vastuu asiakkaan puhelimessa olevalla pankin tunnistussovelluksella vahvistetusta tiisiirrosta jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksajan suostumus maksutapahtumalle.

Tapahtumatiedot

Asiakas on vahvistanut kirjautumisen verkkopankkiinsa pankin tunnistussovelluksella 7.3.2024 klo 16.25. Asiakkaan verkkopankkiin päästyään rikolliset siirsivät asiakkaan luottokortteihin liittyviltä luottotileiltä varoja asiakkaan omalle pankkitilille, jolta tehtiin kolme maksutoimeksiantoa. Rikollisen siirsivät varoja myös asiakkaan omien tilien välillä. Pankista ulos lähteneistä maksutapahtumista kaksi saatiin palautettua, mutta riidanalaiseksi jäi 9 300 euron suuruinen maksu, jota ei saatu palautettua. Asiakkaan pankin tunnistussovelluksella on vahvistettu 9 300 euron maksu, joka on veloitettu asiakkaan tililtä 7.3.2024 klo 16.40. Maksu on vahvistettu ja lisävahvistettu 7.3.2024 klo 16.40 pankin tunnistussovelluksella, joka on aktivoitu käyttöön 13.11.2022.

Asiakkaan valitus

Asiakkaan tililtä on kaapattu 7.3.2024 9 300 euroa. Maksun saajana on näkynyt [maksun saajan nimi] tilille LTXX XXXX XXXX XXXX XXXX. Tapahtumatyyppinä maksussa lukee itsepalvelu. Asiakas ei ole itse tehnyt tilisiirtoa, vaikka maksun tiedoissa lukee itsepalvelu. Asiakas ei missään vaiheessa ole ollut tekemisissä asianomaisen henkilön kanssa. Asiakas vaatii pankkia korvaamaan kaapatun rahamäärän 9 300 euroa.

Asiakkaan näkemyksen mukaan pankin asiassa antamat tiedot eivät pidä paikkaansa alkuunkaan. Asiakas ei ole 7.3.2024 ollut pankin sivuilla, käyttänyt pankkikorttia, ollut kaupassa ostoksilla eikä myöskään ollut sähköposti- tai puheluyhteyksissä kenenkään kanssa. Asiakas ei ole 7.3.2024 klo 16.25 tehnyt pankin tunnistussovelluksella mitään tilisiirtoa. Tuohon kellonaikaan asiakas oli autolla liikenteessä. Viesti oli ilmeisesti kirjoitettu englannin kielellä, ja asiakas ei ymmärrä mitään kieliä.

Pankin vastine

Asiakkaan näkemyksen mukaan erimielisyys tulisi ratkaista niin, että vastuu vahingosta jäisi kokonaan pankin vastattavaksi.

Pankki ei jaa asiakkaan näkemystä vastuunjaosta. Pankin näkemyksen mukaan laki, sopimusehdot ja vastaavissa tapauksissa noudatettu ratkaisukäytäntö puoltavat sitä, ettei kyse ole ollut oikeudettomasta maksutapahtumasta, josta aiheutuneesta vahingosta pankki vastaisi. Näin siksi, että asiakas on antanut maksutapahtuman veloittamiseen suostumuksensa, vaikkakin vääräksi osoittautuneisiin tietoihin luottaen.

Pankin selvitys tapahtumainkulusta

Pankin tulkinnan mukaan tapauksessa on kysymys niin sanotusta kalasteluhuijauksesta, jossa asiakkaalta on kalasteltu asiakkaan verkkopankkitunnukset ja harhautettu asiakas tekemään maksuja.

Asiakkaan verkkopankkiin päästyään rikolliset siirsivät asiakkaan luottokortteihin liittyviltä luottotileiltä varoja asiakkaan omalle pankkitilille, jolta tehtiin kolme maksutoimeksiantoa:

  1. Saaja: X
    Saajan tili: GIXXXXXXXXXXXXXXXXXXXXX
    Summa: EUR 4.200,00
     
  2. Saaja: X
    Saajan tili: LTXXXXXXXXXXXXXXXXXX
    Summa: EUR 9.300,00
     
  3. Saaja: X
    Saajan tili: GBXXXXXXXXXXXXXXXXXXXX
    Summa: EUR 6.800,00

Maksutapahtumista kaksi saatiin palautettua (1. ja 3. tilisiirto, palautukset 11.3.2024 ja 13.3.2024), yhteismäärältään 11 000 euroa. Riidanalaiseksi jäi 2. maksu, määrältään 9 300 euroa, jota ei saatu palautettua.

6.3.2024 asiakkaan tilin päättävä saldo oli 8.723,96 ja tilillä oli ensimmäisen asiakkaan vahvistaman 4.200 euron maksun jälkeen edelleen 4.523,96 euroa. Tämä ensimmäinen huijarille tehty maksu saatiin palautettua. Ensimmäisen huijarille toteutetun maksun jälkeen tehtiin kaksi omien tilien välistä siirtoa, yhteensä 5.590 euroa, jonka jälkeen asiakas hyväksyi riidanalaisen 9.300 euron maksun. Tilillä oli ennen toista huijarille toteutettua maksua 10.113,96 euroa, josta 4.523,96 oli jo asiakkaan tilillä ennen omien tilien välisiä siirtoja. Omien tilien väliset siirrot eivät ole siis voineet lisätä vahingon määrää 5.590 eurolla tässä vaiheessa, koska tilillä oli jo varoja. Tämän jälkeen on tehty vielä kolme omien tilien välistä siirtoa luottotileiltä, yhteensä 7.300, jonka jälkeen asiakas on hyväksynyt vielä yhden maksun huijarille. Tämä viimeinen maksu saatiin myös palautettua.

Asiakas on vahvistanut kirjautumisen verkkopankkiin pankin tunnistussovelluksella 7.3.2024 klo 16.25. Asiakkaan pankin tunnistussovelluksella on vahvistettu maksu 9 300 euroa, joka on veloitettu asiakkaan tililtä 7.3.2024 klo 16.40. Omien tilien välinen siirto ei edellytä vahvaa tunnistamista, sillä varat eivät niissä siirry asiakkaan kontrollin ulkopuolelle. Edellä mainitut toimenpiteet on tehty verkkopankki-istunnossa.

Maksu on vahvistettu pankin tunnistussovelluksella, joka on aktivoitu käyttöön 13.11.2022. Tapauksessa maksulle on vaadittu myös lisävahvistus.

Vahvistuspyynnön sisältö 7.3.2024 klo 16.40:

[Pankki] [pankin verkkopalvelu] pyytää vahvistusta
Haluan maksaa
summa: 9 300,00 EUR
saaja: X
Tilille: LTXX XXXX XXXX XXXX XXXX
Päiväys: 7.3.2024
Tililtä: FIXX XXXX XXXX XXXX XX
Tapahtuma on vahvistettu 7.3.2024 klo 16.40.

Lisävahvistuspyynnön sisältö 7.3.2024 klo 16.40:

[Pankki] [pankin verkkopalvelu] pyytää vahvistusta
Olet tekemässä maksua joka vaatii lisävahvistuksen.
Tarkasta, että alla olevat tiedot ovat oikein.
summa: 9 300,00 EUR
saaja: X
Tilille: LTXX XXXX XXXX XXXX XXXX
Päiväys: 7.3.2024
Tililtä: FIXX XXXX XXXX XXXX XX

Tapahtuma on lisävahvistettu 7.3.2024 klo 16.40.

Myös tästä tilisiirrosta on tehty palautuspyyntö, mutta siihen saatiin kielteinen vastaus, eli varoja ei valitettavasti saatu palautettua.

Pankin näkemys asian arvioinnista

Pankin lokitietojen perusteella riidanalainen maksu on vahvistettu asiakkaan pankin tunnistussovelluksella. Kun asiakas antaa pankille maksupalvelulain mukaisen suostumuksensa maksun veloittamiseen, maksu ei ole oikeudeton maksupalvelulain 38 §:n mukaan, vaikka maksu jälkikäteen osoittautuisikin liittyvän tietojenkalasteluun ja verkkorikollisuuteen. Siten pankilla ei ole velvollisuutta korvata asiakkaalle vahinkoa, joka on aiheutunut riidan kohteena olevasta maksusta. Riidanalainen maksu jää pankin näkemyksen mukaan asiakkaan vastuulle, sillä se on vahvistettu pankin tunnistussovelluksella, jossa olennaiset maksutiedot näytetään myös maksun hyväksymisen yhteydessä.

Pankin näkemyksen mukaan vahinkoa ei ole tapahtunut, kun omien tilien välinen siirto on tehty. Varat ovat edelleen olleet asiakkaan hallussa. Tilien välisellä siirrolla ei ole pankin näkemyksen mukaan ollut vaikutusta vahingon määrään. Lopullinen tilisiirto kolmannen tilille on toteutettu asiakkaan suostumuksella. Kun asiakas on vahvistanut maksun huijarille, hänelle on vahvistus- ja lisävahvistuspyynnössä näytetty summa, joka vahvistuksen myötä siirretään.

Pankin asiakkaan joutuminen petoksen uhriksi on erittäin valitettavaa. Pankin on kuitenkin kohdeltava kaikkia samassa tilanteessa olevia asiakkaitaan yhdenvertaisesti. Voimassa olevasta lainsäädännöstä johtuu, että tietojenkalastelutapaukset, joissa asiakas itse hyväksyy maksun, eivät kuulu pankin taloudellisen vastuun piiriin.

Omien tilien väliset siirrot

Pankki katsoo ensisijaisesti, ettei omien tilien välisellä siirrolla ole syy-yhteyttä asiakkaan kärsimään vahinkoon. Vahinko on aiheutunut asiakkaan suostumuksella tehdyistä maksutapahtumista, joita ei ole pidettävä oikeudettomina. Pankki ei jaa Pankkilautakunnan näkemystä aiemman ratkaisun FINE-075040 perusteluista siltä osin, kun lautakunta on katsonut pankin vastaavan vahingon siitä määrästä, joka on siirretty verkkopankin sisäisenä siirtona asiakkaan vallinnassa olevien tilien välillä ilman maksajan vahvaa tunnistamista. Pankkilautakunta on todennut kyseisessä ratkaisussaan, että lähtökohtaisesti asiakas vastaa suostumuksellaan tehdystä maksutapahtumasta aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa. Lautakunta on kuitenkin arvioinut kokonaisselvityksen perusteella, että omien tilien välinen siirto on vaikuttanut aiheutuneen vahingon määrään ja että pankki vastaa vahingosta tältä osin. Pankin vastuuseen liittyvät juridiset perustelut jäävät lautakunnan ratkaisussa epäselviksi.

Nyt kysymyksessä olevaan tapaukseen liittyvissä omien tilien välisissä siirroissa ei ole edellytetty vahvaa tunnistautumista komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artiklan perusteella, jonka mukaan pankilla ei ole velvollisuutta käyttää vahvaa tunnistamista sellaisten tilisiirtojen osalta, jossa maksaja ja maksunsaaja ovat sama.

Komission delegoitu asetus (EU) 2018/389 III luvun 15 artikla:

”Edellä 2 artiklassa säädettyjen vaatimusten täyttyessä on sallittava, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.”

Maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista. Maksutapahtuma, jossa maksaja ja maksunsaaja ovat olleet sama luonnollinen henkilö, on ollut oikeudeton, mutta maksutapahtumasta ei ole seurannut varallisuusvahinkoa asiakkaalle varojen säilyessä edelleen kokonaisuudessaan asiakkaan vallinnassa. Vahinkoedellytys olisi täyttynyt, jos varat tässä yhteydessä olisivat päätyneet kolmannen osapuolen haltuun. Pankki ei jaa lautakunnan näkemystä siitä, että em. lainkohdan mukaista pankin vastuuta tulkittaisiin niin, että pankki vastaa maksutapahtumasta silloinkin, kun transaktiosta ei ole realisoitunut mitään vahinkoa.

Nyt arvioitavassa tapauksessa omien tilien väliset siirrot on oikeudettomasti tehnyt huijari, mutta asiakas ei ole siirtojen johdosta menettänyt varoja. Omien tilien välinen siirto tapahtuu nimenomaisesti vain asiakkaan vallinnassa olevien tilien, eli sellaisten tilien välillä, joissa asiakas on tilinomistaja tai käyttöoikeudenhaltija. Tämä on peruste sille, että omien tilien väliset siirrot ilman maksajan vahvaa tunnistamista on ylipäätään voitu mahdollistaa sekä sääntelyllisesti että käytännössä.

Jos maksuvälineenä olisi käteinen, tilanne vertautuu siihen, että henkilö siirtää käteistä rahaa taskustaan toiseen taskuunsa. Varat pysyvät ko. henkilön hallinnassa varojen siirtämisestä huolimatta siihen saakka, kunnes hän antaa käteisvarat pois hallustaan ulkopuoliselle henkilölle.

Tapaukseen liittyviä maksutapahtumia tulee arvioida maksupalvelulain 62 §:n nojalla itsenäisinä tapahtumina, ei kokonaisuutena. Vahingon syntymisen välttämätön edellytys on ollut se, että kertaalleen omien tilien välillä siirretyt varat siirretään pois asiakkaan hallussa olevalta tililtä asiakkaan itse pankin tunnistussovelluksellaan antaman suostumuksen perusteella. Tästä syystä pankki katsoo, että pankki ei ole miltään osin vastuussa maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta, koska pankki on nimenomaisesti edellyttänyt vahvaa tunnistautumista niiden maksutapahtumien osalta, jolla varat on siirretty asiakkaan tililtä huijarille. Jos huijaus olisi jostain syystä keskeytynyt omien tilien välisen siirron jälkeen, ei mitään vahinkoa olisi myöskään aiheutunut.

Vahingon määrän pieneneminen tai kokonaan toteutumatta jääminen olisi edellyttänyt sitä, että huijari ei olisi lainkaan saanut haltuunsa asiakkaan henkilökohtaisia tunnistetietoja ja että asiakas ei olisi itse vahvistanut huijarin kirjautumista asiakkaan verkkopankkiin tai ainakaan huijarin tekemiä korttimaksuja. Vahingon välttämättömiä edellytyksiä, conditio sine qua non ja oikeudellisesti relevantteja tapahtumia ovat edellä mainitut toimet eli asiakkaasta itsestään riippuva ja hänen kontrolloitavissaan oleva toiminta.

Asiakas on itse mahdollistanut vahingon syntymiseen luovuttamalla tunnistautumistietonsa huijareille ja hyväksymällä tämän jälkeen vahvistuspyyntöjä pankin tunnistussovelluksessaan. Vastoin Pankkilautakunnan em. aiemmassa ratkaisussaan ottamaa kantaa, pankki katsoo jäävän näyttämättä, mikä merkitys vahvalla tunnistamisella olisi ollut omien tilien välisen siirron toteutumisen ja siten tapauksessa kokonaisuudessaan syntyneen vahingon kannalta. Huijaustilanteessa asiakas on ollut valmis hyväksymään hänelle osoitetut vahvistuspyynnöt, eli kirjautumisen verkkopankkiin ja maksutapahtuman tililtään vieraalle tilille. Vahvan tunnistautumisen käytön suorana seurauksena ei siten voida pitää omien tilien välisen siirron toteutumatta jäämistä eli asiakkaalle aiheutuneen vahingon rajautumista.

Yhteenvetona pankki toteaa, että korvausvelvollisuuden edellytyksenä on vastuuperuste, kyseiseen perusteeseen liittyvä vahinko ja vahingon syy-yhteys korvausvastuuseen johtavaan tekoon, toimintaan tai laiminlyöntiin. Tapauksessa pankin vastuuperuste on maksupalvelulain 62 §:n 3 momentin 4 kohdan mukainen palvelutarjoajan vastuu maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistautumista. Kyseiseen perusteeseen liittyvä vahinkoedellytys puuttuu, koska asiakkaalle ei ole aiheutunut mitään varallisuusvahinkoa omien tilien välisen siirron toteuttamisella. Asiakkaan laiminlyönti luovuttaessaan henkilökohtaisia tunnistetietojaan huijareille ja maksujen hyväksyminen ovat välttämättömässä syy-yhteydessä aiheutuneeseen vahinkoon, ei omien tilien välinen siirto. Vahingon määrä on ollut riippuvainen siitä, minkä suuruisia korttimaksuja asiakas on vahvistanut tehtäväksi tililtään ulkopuoliselle taholle.

Selvitykset

  • Pankin euromaksualueella välitettävien euromaksujen yleiset ehdot (10/2018)
  • Pankin pankkitunnuksilla käytettävien palvelujen yleiset ehdot (11/2023)

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. maksutapahtumalle vai onko maksutapahtumaa pidettävä oikeudettomana. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on. Edelleen lautakunnan on arvioitava, vaikuttaako asiakkaan ja pankin välisen vastuunjakoon se, että pankki ei ole edellyttänyt vahvaa tunnistamista kahden verkkopankin sisäisen tilisiirron yhteydessä.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain (290/2010) 38 §:n 1 momentin mukaan

Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Maksupalvelulain 53 §:n 1 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Maksupalvelulain 54 §:n 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelulain 62 §:n mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n 1 momentin mukaan

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n 1 momentin mukaan

Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1)käyttää maksutiliään tietoverkon välityksellä;
2)käynnistää sähköisen maksutapahtuman;
3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.

Maksupalvelulain 85 c §:n 5 momentin mukaan

Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.

Asian arviointi

Pankin asiassa antamien selvitysten mukaan 7.3.2024 suoritettu 9 300 euron suuruinen tilisiirto on vahvistettu asiakkaan omalla pankin tunnistussovelluksella, joka on aktivoitu käyttöön 13.11.2022. Ko. maksu on myös lisävahvistettu kyseisellä pankin tunnistussovelluksella. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo selvitetyksi, että asiakas on vahvistanut ko. tilisiirron pankin tunnistussovelluksella. Tunnistussovelluksessa on ennen maksun vahvistuksen antamista lukenut asianmukaisesti ”[Pankki] [pankin verkkopalvelu] pyytää vahvistusta Haluan maksaa” ja lisäksi on näytetty maksun summa sekä saajan tilinumero ja nimi. Tilisiirron toteuttaminen on edellyttänyt myös pankin tunnistussovelluksessa annettua lisävahvistusta. Lisävahvistuspyynnössä on asianmukaisesti kerrottu ”[Pankki] [pankin verkkopalvelu] pyytää vahvistusta Olet tekemässä maksua joka vaatii lisävahvistuksen. Tarkasta, että alla olevat tiedot ovat oikein.” ja lisäksi on näytetty maksun summa sekä saajan tilinumero ja nimi.

Pankkilautakunta on ratkaisukäytännössään vakiintuneesti katsonut, että tapauksissa, joissa rikoksen uhri on huijattuna tullut itse hyväksyneeksi riidanalaiset maksut esimerkiksi omassa puhelimessaan olevalla pankin mobiilisovelluksella ja sovelluksessa on ennen vahvistuksen antamista näkynyt vahvistettavan maksun tiedot, ei pankkia ole suositettu hyvittämään asiassa aiheutunutta vahinkoa asiakkaalle. Näissä tapauksissa on katsottu, että vaikka asiakas on antanut maksujen vahvistukset rikollisten harhaan johtamana, on hän kuitenkin itse antanut maksuille maksupalvelulain 38 §:ssä ja sovellettavissa ehdoissa tarkoitetun suostumuksensa, eivätkä kyseessä olevat maksutapahtumat tällöin ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia. Tämän vuoksi käsillä ei ole myöskään ollut perusteita pankin vastuulle maksuista asiakkaalle aiheutuneesta vahingosta.

Vaikka asiakas on antanut em. vahvistuksen tilisiirrolle tultuaan rikollisten har­haan johtamaksi, tällä ei ole merkitystä asiakkaan ja pankin välisessä suhteessa. Pankkilautakunta katsoo, että asiakas on antanut maksutapahtumalle maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtuman toteuttamiseen ja lisävahvistuksensa tilisiirtoa koskevan maksutoimeksiannon toteuttamiselle. Näin ollen Pankkilautakunta katsoo, ettei kyseessä oleva maksutapahtuma ole maksupalvelulaissa tarkoitetulla tavalla oikeudeton ja ettei käsillä siten ole perusteita pankin vastuulle maksusta asiakkaalle aiheutuneesta vahingosta.

Verkkopankin sisällä tehtyjen oikeudettomien maksujen tekeminen ilman vahvaa tunnistamista

Maksupalvelulain 8 §:ssä määritetään, mitä laissa tarkoitetaan vahvalla tunnistamisella, jota lain 85 c § edellyttää palveluntarjoajan käyttävän, jos maksaja käyttää maksutiliään tietoverkon välityksellä tai toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski. Edelleen lain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Vahvan tunnistamisen on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin (EU) 2015/2366 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa (RTS). Komission delegoidun asetuksen (EU) 2018/389 III luvussa luetellaan asiakkaan vahvaa tunnistamista koskevan periaatteen poikkeukset.

Em. asetuksen III luvun 15 artiklan, joka koskee saman luonnollisen henkilön hallussa olevien tilien välisiä tilisiirtoja, mukaan on sallittavaa, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.

Asiassa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista siinä yhteydessä, kun rikolliset ovat tehneet asiakkaan verkkopankissa kaksi asiakkaan omien tilien välistä siirtoa, yhteensä 5 590 euroa.

Pankkilautakunta toteaa maksupalveluja ja vahvaa tunnistamista koskevan sääntelyn sallivan palveluntarjoajien tietyissä poikkeustilanteissa poikkeavan vahvan tunnistamisen vaatimuksesta ja tässä tapauksessa lautakunta katsoo, että pankki on voinut sallia verkkopankin sisäisten siirtojen tapahtuvan ilman vahvaa tunnistamista.

Vaikka sääntely tietyissä poikkeustilanteissa sallii sen, ettei maksupalveluntarjoajan ole edellytettävä maksujen yhteydessä maksajan vahvaa tunnistamista, ei maksupalvelun käyttäjä maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan kuitenkaan vastaa maksuvälineensä oikeudettomasta käytöstä, jos maksupalveluntarjoaja ei ole maksuvälineen oikeudettoman käytön yhteydessä edellyttänyt maksajan vahvaa tunnistamista. Näin ollen salliessaan maksutapahtumia tehtävän ilman maksajan vahvaa tunnistamista ottaa pankki vastuulleen riskin maksuvälineen oikeudettomasta käytöstä.

Tässä tapauksessa verkkopankin sisällä tehdyt kaksi, yhteensä 5 590 euron suuruista tilisiirtoa ovat rikollisten oikeudettomasti tekemiä.

Pankkilautakunta toteaa, että asiassa aiheutunut 9 300 euron vahinko on realisoitunut, kun asiakas on edellä esitetyn tavoin antanut maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa 9 300 euron maksutapahtuman toteuttamiselle, minkä johdosta asiakas lähtökohtaisesti vastaa maksusta aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa siltä osin, kun pankki ei ole onnistunut palauttamaan varoja asiakkaalle.

Tapauksessa saadun kokonaisselvityksen perusteella Pankkilautakunta kuitenkin katsoo, että asiassa aiheutuneen vahingon määrään on vaikuttanut em. maksua ennen tehdyt verkkopankin sisäiset siirrot ja se, että pankki on sallinut kyseisten oikeudettomien siirtojen tekemisen ilman vahvaa tunnistamista. Kyseisillä oikeudettomilla tilisiirroilla, jotka vahvan tunnistamisen puutteen vuoksi kuuluvat asiakkaan ja pankin välisessä suhteessa pankin vastuulle, on siirretty asiakkaan omien tilien välillä yhteensä 5 590 euroa. Asiakkaan tilillä oli jo 4 523,96 ennen omien tilien välisiä siirtoja. Omien tilien väliset siirrot ovat lisänneet vahingon määrää 4 776,04 eurolla, koska asiakkaan hyväksymä pankista ulos lähtenyt siirto on ollut 9 300 euron suuruinen. Pankkilautakunta katsoo asiassa aiheutuneen vahingon kuuluvan 4 776,04 euron osalta pankin vastuulle.

Lopputulos

Pankkilautakunta katsoo asiakkaan antaneen ko. 9 300 euron tilisiirrolle maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ja asiakkaan siten lähtökohtaisesti vas­taavan tilisiirrosta aiheutuneesta vahingosta pankin ja asiakkaan välisessä suhteessa lukuun ottamatta ilman vahvaa tunnistamista tehtyjä pankin vastuulle jääviä siirtoja. Edelleen lautakunta katsoo, että vahingon kokonaismäärään on vaikuttanut verkkopankin sisällä ennen em. maksua tehdyt kaksi, yhteissummaltaan 5 590 euron suuruista tilisiirtoa asiakkaan omien tilien välillä. Koska pankki on sallinut kyseisten tilisiirtojen tekemisen ilman vahvaa tunnistamista ja siirrot ovat oikeudettomia, vastaa pankki kyseisistä tilisiirroista ja asiassa aiheutuneesta vahingosta siltä osin kuin kyseiset siirrot ovat vahingon kokonaismäärää lisänneet. Oikeudettomilla asiakkaan omien tilien välisillä tilisiirroilla vahingon määrä on lisääntynyt 4 776,04 eurolla.

Edellä esitettyyn viitaten Pankkilautakunta suosittaa pankkia hyvittämään 4 776,04 euroa tilille, joilta em. oikeudettomat tilisiirrot ilman vahvaa tunnistamista tehtiin.

Ratkaisusuositus syntyi äänin 4–1. Ratkaisusuosituksen antamiseen osallistuivat puheenjohtaja Sillanpää sekä jäsenet Atrila, Punakivi ja Tervonen. Jäsen Piilon eriävä mielipide on liitteenä.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Pöntinen

Jäsenet:
Atrila
Piilo
Punakivi
Tervonen

Jäsen Piilon eriävä mielipide

Olen eri mieltä Pankkilautakunnan enemmistön ratkaisusuosituksen perusteluista ja lopputuloksesta siltä osin, että pankkia pidetään korvausvelvollisena vahingosta, kun varoja on siirretty ilman vahvaa tunnistamista asiakkaan omien tilien välillä.

Asian kannalta merkitykselliset lainsäännökset ovat maksupalvelulain 38 § (Maksajan suostumus maksutapahtuman toteuttamiseen), maksupalvelulain 85 c §:n 1 ja 5 momentti (Tunnistaminen), komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artikla (Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot), maksupalvelulain 62 §:n 3 momentin 4 kohta (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) sekä maksupalvelulain 63 §:n 1 momentti (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta).

Tapauksessa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista kahden rikollisten tekemän asiakkaan omien tilien välisen siirron tekemiseksi. Tilisiirrot on tehty asiakkaan omien tilien välillä eli asiakas on ollut molempien tilien omistajana. Omien tilien välillä tehtyjen siirtojen jälkeen varat ovat edelleen olleet asiakkaan omalla tilillä ja hän on voinut määrätä varoista. Varsinainen vahinko asiakkaalle on tapahtunut, kun varat on siirretty ulkopuolisen omistamalle tilille. Nyt puheena olevassa tapauksessa asiakas on antanut maksupalveluin 38 §:n mukaisen suostumuksen tilisiirrolle, jolla varat siirrettiin pois hänen hallinnastaan ulkopuoliselle. Mikäli asiakas ei olisi antanut suostumustaan ulkopuoliselle tehtyyn tilisiirtoon, ei mitään vahinkoa olisi tapahtunut. Syy-yhteyttä omien tilien välisillä siirroilla ei ole varsinaiseen vahinkoon ja näin ollen omien tilien välillä tehdyistä siirroista ei ole aiheutunut asiakkaalle korvattavaa vahinkoa.

Asiakkaalle aiheutunut vahinko ei ole seurausta omien tilien välisistä oikeudettomista siirroista, vaan asiakaan omalla maksupalvelulain 38 §:n mukaisella suostumuksella tehdystä tilisiirrosta, joka ei maksupalvelulain mukaan ole maksuvälineen oikeudetonta käyttöä.

Lopputulos

Katson, että vahinko on aiheutunut maksupalvelulain 38 §:n mukaisella asiakkaan suostumuksella tehdyn maksutapahtuman seurauksena, jota ei ole pidettävä maksupalvelulain mukaan oikeudettomana. Asiakkaan omien tilien välillä ilman vahvaa tunnistamista tehdyt oikeudettomat siirrot eivät ole syy-yhteydessä asiakkaan myöhemmin vahvistamalla siirrolla hänelle aiheutuneeseen vahinkoon.

Edellä todetuin perustein katson, että pankki ei vastaa kyseisistä tilisiirroista ja asiassa aiheutuneesta vahingosta miltään osin, eikä Pankkilautakunnan tulisi suosittaa pankkia hyvittämään 4 776,04 euroa tileille, joilta oikeudettomat tilisiirrot ilman vahvaa tunnistamista tehtiin.

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä