Haku

FINE-65803-N3H1F / FINE-074025

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-65803-N3H1F / FINE-074025 (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 28.08.2025

Miten vastuu asiakkaan verkkopankissa oikeudettomasti tehdyistä ja pankin tunnistussovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan huolimattomuus.

Tapahtumatiedot

Kun asiakkaan tarkoituksena 22.6.2023 on ollut mennä verkkopankkiinsa, on hän päätynyt rikollisten luomille pankin verkkosivuilta näyttäville sivuille, joilla hän on käyttänyt pankkitunnuksiaan kirjautuakseen verkkopankkiin.

Asiakkaan pankkitunnuksilla ja pankin asiakkaalle 22.6.2023 klo 23.38 lähettämässä tekstiviestissä olleella koodilla on aktivoitu käyttöön pankin tunnistussovellus. Em. tekstiviestin lähettäjätietona asiakkaan puhelimessa on näkynyt pankin tunnistussovelluksen nimi X ja viestissä on lukenut seuraavaa:
”Aktivointikoodi [X]:Ile. KÄYTÄ KOODIA VAIN [X]:n AKTIVIOINTIIN. XXXX"

Tämän jälkeen pankki on lähettänyt asiakkaalle klo 23.39 tekstiviestin, jonka lähettäjätietona on näkynyt pankin nimi:
"[X]:si aktivoituu 24 tunnin kuluttua. Jos et ole aktivoinut [X:ää], poista se Internetkonttorissa/Mobiilipankissa tai soita Sulkupalveluun."

Em. tunnistussovellusta hyväksi käyttäen on asiakkaan verkkopankkiin kirjauduttu ja tehty 26.6.2023 klo 6.22-7.05 yhteismäärältään 131.520,00 euron oikeudettomat tilisiirrot ulkomaille asiakkaan käytössä olevalta ammattiyhdistyksen tililtä. Oikeudettomista maksutapahtumista on saatu alle puolet palautettua.

Em. pankin tunnistussovellus on suljettu 14.7.2023 klo 16.00.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan ammattiyhdistyksen ammattiosastolle tämän menettämät 73.400 euroa.

Asiakas on ammattiyhdistyksen taloudenhoitaja. Asiakas maksoi ammattiosaston laskua 22.6.2023 noin klo 23.30. Itse maksutapahtumasta asiakkaalla ei ole minkäänlaista muistikuvaa. Kaikki meni hänen mielestään normaalisti vahvistuskoodeineen ja tekstiviesteineen ym. Asiakas toimi samalla tavalla kuin aina aikaisemminkin eikä hän siis huomannut tilanteessa mitään poikkeavaa.

Mikäli pankki on sovelluksen aktivoimisesta kertovan tekstiviestin lähettänyt, on se kaikessa määrin virheellinen ja puutteellinen. Asiakas, joka on omasta mielestään normaalisti kirjautunut sisään verkkopankkiin niin kuin aina ennenkin ja tehneensä tunnistautumisen tavalliseen tapaan, on jättänyt pankin lähettämän viestin luonnollisesti huomioimatta, koska hänen nimenomainen tarkoituskin oli tunnistautua verkkopankkiin ja aktivoida X:n eikä hän siis tiennyt olevansa väärällä sivustolla. Pankin lähettämä viesti olisi sisällöltään pitänyt olla sellainen, että asiakas olisi epäillyt sivustoa vääräksi.

26.6.2023 aamupäivällä pankista otettiin yhteyttä ammattiosaston tileillä tapahtuvan poikkeavan rahaliikenteen vuoksi. Kaikki ammattiosaston tilit oli tyhjennetty ulkomaille, noin 135.000 euroa, mutta osan rahoista pankki sai palautettua takaisin. Pankki on myöhemmin ilmoittanut X:n sulkemisajaksi 14.7.2023 klo 16.00 ja asiakas ihmettelee, miksi sovellus on suljettu vasta silloin. Oleellista tässä kuitenkin on se, että asiakas ei katso toimineensa törkeän huolimattomasti pankkitunnusten kanssa. Asiakas ei ole tietoisesti antanut tai näyttänyt kenellekään käyttäjätunnuksia, salasanoja tai mitään muutakaan.

Ammattiosasto teki myös rikosilmoituksen. Poliisi totesi rikoksen tapahtuneen, mutta lopetti tutkinnan, koska siinä olisi tarvittu kansainvälistä yhteistyötä muiden maiden poliisien kanssa eikä tämä heidän mielestään ollut mahdollista.

Maksuvälinepetosta on käsitelty ammattiosaston hallituksessa ja oltu yksimielisiä siitä, että pankilla on aina viime kädessä vastuu asiakkaittensa rahoista. Pankkitunnuksia ei ole missään vaiheessa kenellekään luovutettu, näytetty tai jätetty johonkin sellaiseen paikkaan näkyville, josta joku voisi tunnuksia saada. Pankin toiminta on asian ympärillä ollut muutenkin huolimatonta ja törkeää. Tileiltä ei ikinä tehdä tilisiirtoja ulkomaille, joten jo se on ollut hyvin normaalista poikkeavaa. Ammattiosasto on jätetty kokonaan asian ulkopuolelle ja pankin lausunto asiasta kesti noin 6 kuukautta. Tänä aikana pankista ei oltu minkäänlaisessa yhteydessä. Asiaa tiedusteltaessa ei pankilla ikinä ollut mitään uutta kerrottavaa. Tässä tapauksessa asiakas ei ole toiminut törkeän huolimattomasti ja siten pankki on velvollinen korvaamaan menetetyt rahat.

Pankki on vastuussa siitä, että he huolehtivat asiakkaidensa rahoista. Pankki on itse ollut huolimaton lähettäessään hyvin epäselviä viestejä tai antaessaan tileiltä suorittaa ulkomaille tilisiirtoja varsinkin, kun tileiltä ei niitä ikinä ole tehty.

Asiakas on saanut tietoonsa, että vastaavanlainen maksuvälinepetos tapahtui samoihin aikoihin myös toisen ry:n tilillä. Yhdistys sai samansisältöiset tekstiviestit liittyen X:n aktivoimiseen kuin asiakas sai ja tässäkään tapauksessa niihin ei reagoitu millään tapaa. Pankki oli ratkaissut asian asiakkaan hyväksi ja palautti rahat asiakkaan tilille. Kun asia on sama ja tekotapa sama, niin miten eri asiakkaiden kohdalla ratkaisu voisi olla eri? Kun ko. tapauksessa pankki on palauttanut rahat, voidaan katsoa, että pankki on myöntänyt virheensä ja todennut itsekin toiminnassaan ja viesteissään olevan vikaa eikä asiakas ei ole toiminut törkeän huolimattomasti vaan vastuu on pankilla.

Pankin vastine

Pankki on tutkinut asiakkaan valituksen kohteena olevia maksutapahtumia. Selvityksestä käy ilmi, että pankin Internetkonttoriin kirjautumisyrityksensä yhteydessä 22.6.2023 asiakas on päätynyt pankin nimissä olevalle huijaussivustolle. Asiakas on antanut huijaussivustolle digitaaliseen allekirjoitukseensa vaadittavat tiedot sekä tämän jälkeen syöttänyt sivustolle pankin tunnistussovelluksen X:n aktivoimiseen tarkoitetun kertakäyttökoodin, jonka pankki lähetti asiakkaalle klo 23.38.

Annettuaan tunnistussovelluksen aktivoimiseen tarkoitetun kertakäyttöisen tunnusluvun, pankki lähetti klo 23.39 asiakkaan matkapuhelimeen tekstiviestin, jossa luki "[X] aktivoituu 24 tunnin kuluttua. Jos et ole aktivoinut [X:ää], poista se Internetkonttorissa/Mobiilipankissa tai soita Sulkupalveluun.". Asiakas ei kuitenkaan reagoinut tähän tekstiviestiin, mikä johti siihen, että X aktivoitui. Valituksen kohteena olevat maksutapahtumat voitiin sen jälkeen toteuttaa aktivoidun X:n avulla.

Pankin digitaalisten palvelujen yleisten ehtojen mukaan yhteys pankin digitaalisiin palveluihin tapahtuu internetin ja verkkosivuston www.[pankki].fi avulla. On asiakkaan vastuulla tarkistaa, että verkko-osoite vastaa pankin WWW-osoitetta, mikä käy ilmi digitaalisten palvelujen yleisistä ehdoista, erityisesti, jos käyttää hakukonetta ja valitsee linkin hakutulosten joukosta.

Käytettäessä digitaalista allekirjoitusta, joka vastaa asiakkaan omakätistä allekirjoitusta, asiakkaalta edellytetään aina huolellista toimintaa, ja pankin digitaalisten palvelujen yleisten ehtojen mukaan asiakas sitoutuu suojaamaan digitaalisen allekirjoituksen sopivalla tavalla sitä käyttäessään ja olemaan luovuttamatta digitaalista allekirjoitusta tai osaa siitä sen käyttöön oikeudettomalle.

Pankki edellyttää asiakkaan huomaavan, jos tekstiviestin lähettäjä ja sisältö poikkeavat aiemmin pankilta tulleista tekstiviesteistä pankin Internetkonttorin sisäänkirjautumisen yhteydessä. Kirjautumisyrityksen yhteydessä asiakas vastaanotti kertakäyttökoodin tekstiviestinä, jossa sekä lähettäjä että sisältö eroavat aikaisemmista tekstiviesteistä sisäänkirjautumisen yhteydessä. Asiakas on tämän jälkeen saanut vielä yhden tekstiviestin käyttäjältä pankki, jossa häntä kehotetaan olemaan yhteydessä sulkupalveluun tai poistamaan X:n Internetkonttorin kautta. Asiakas on toiminut ammattiyhdistyksen taloudenhoitajana ja hänen olisi tullut noudattaa erityistä huolellisuutta käyttäessään yhdistyksen varoja. Kun asiakas huomaa jotakin poikkeavaa kirjautuessaan sisään Internetkonttoriin, hänen tulee välittömästi ottaa yhteyttä pankkiin ja keskeyttää kirjautumisyritys.

Edellä esitetyn perusteella pankki katsoo asiakkaan laiminlyöneen digitaalisten palvelujen yleisten ehtojen mukaiset velvollisuutensa menettelyllään Internetkonttorin sisäänkirjautumisyrityksellään 22.6.2023 siinä määrin, ettei ehtojen ja maksupalvelulain 62 §:n mukainen korvausvelvollisuus koske valituksen kohteina olevia maksutapahtumia.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle ei ole toimitettu muita asiakirjoja.

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin Digitaalisten palvelujen yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta digitaalisen allekirjoituksen oikeudettomasta käytöstä maksujenvälityksessä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Yleistä -kohdan mukaan
"[…] Yhteys pankin digitaalisiin palveluihin tapahtuu, kyseessä olevasta palvelusta riippuen, internetin ja verkkosivuston www.[pankki].fi avulla. Lisäksi digitaaliset palvelut ovat käytettävissä sovelluksen tai muun liitännän ja/tai ratkaisun kautta, jonka pankki kulloinkin valitsee tai osoittaa. Asiakkaan on käytettävä pankin tarjoamaa tai pankin hyväksymää sovellusta tai muuta ohjelmistoa digitaalisten palvelujen käyttämiseen. [...]
Asiakas voi käyttää digitaalisia palveluja todistamalla henkilöllisyytensä digitaalisella allekirjoituksellaan. Digitaalinen allekirjoitus koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta, salasanasta ja tunnuslukutaulukosta sekä tietyissä tapauksissa tunnuslukutaulukkoa täydentävästä, tekstiviestinä lähetettävästä kertakäyttökoodista (esimerkiksi sisäänkirjautumista ja maksun hyväksymistä varten). Vaihtoehtoisesti digitaalinen allekirjoitus koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta ja Mobiilipankkiin rekisteröitävästä tunnusluvusta Tunnusluvun asemasta voidaan mahdollisesti käyttää biometristä tunnistusta, kuten sormenjäljen lukemista. Henkilökohtaista käyttäjätunnusta ja tunnuslukua tai biometristä tunnistusta kutsutaan yhdessä [pankki] [X]:ksi.
[…]
Digitaalinen allekirjoitus vastaa asiakkaan omakätistä allekirjoitusta. Asiakas hyväksyy siten omissa nimissään digitaalisten palvelujen käytön, kun digitaalinen allekirjoitus on vastaanotettu pankin tietojärjestelmään kunkin digitaalisen palvelun käyttämisen edellyttämällä tavalla.
Ainoastaan asiakkaalla on oikeus käyttää digitaalista allekirjoitusta. Digitaalista allekirjoitusta tai osaa siitä ei saa koskaan paljastaa kenellekään ulkopuoliselle, ei edes perheenjäsenelle. Asiakkaalla on kuitenkin oikeus käyttää tilitieto- ja maksutoimeksiantopalveluja. Tarkempia ohjeita digitaalisesta allekirjoituksesta on pankin verkkosivustolla, www.[pankki].fi
[…]
Asiakkaan on täytettävä digitaalisten palvelujen käyttöä koskevat pankin kulloinkin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä."

Pankkitunnusehtojen Digitaalisen allekirjoituksen suojaaminen -kohdan mukaan
”Asiakas sitoutuu

  • säilyttämään henkilökohtaisen käyttäjätunnuksen, salasanan ja tunnuslukutaulukon sekä [pankki] [X:än] sisältyvän tunnusluvun huolellisesti ja erillään toisistaan,
  • olemaan kirjaamatta tai käyttämättä henkilökohtaista käyttäjätunnusta, salasanaa tai [pankki] [X:än] sisältyvää tunnuslukua tavalla, jonka vuoksi se on helposti tunnistettavissa,
  • noudattamaan pankin antamia ohjeita,
  • suojaamaan digitaalisen allekirjoituksen sopivalla tavalla sitä käyttäessään,
  • varmistamaan säännöllisesti, että tunnuslukutaulukko on hänen hallussaan, ja
  • olemaan luovuttamatta digitaalista allekirjoitusta tai osaa siitä sen käyttöön oikeudettomalle.

Asiakas on ymmärtänyt, että

  • pankki suosittelee, että asiakas opettelee henkilökohtaisen käyttäjätunnuksen, salasanan ja [pankki] [X:än] sisältyvän tunnusluvun ulkoa,
  • pankki ei koskaan pyydä ilmoittamaan digitaalista allekirjoitusta tai osaa siitä sähköpostitse, ja
  • pankki ei koskaan ota yhteyttä asiakkaaseen ja pyydä asiakkaalla digitaalista allekirjoitusta tai osaa siitä.”

Pankkitunnusehtojen Digitaalisen allekirjoituksen sulkeminen -kohdan mukaan
"Asiakas sitoutuu välittömästi ilmoittamaan pankille, jos digitaalinen allekirjoitus tai osa siitä on kadonnut, jos on syytä epäillä sen käyttöön oikeudettoman saaneen tiedon digitaalisesta allekirjoituksesta tai osasta siitä tai digitaalista allekirjoitusta käytetään oikeudettomasti.
[…]"

Asian arviointi

Tapahtumienkulku

Pankkilautakunta katsoo asiassa selvitetyksi, että kun asiakkaan tarkoituksena 22.6.2023 on ollut mennä tietokoneellaan verkkopankkiinsa, on hän asiaa huomaamatta päätynyt pankin verkkosivulta näyttävälle valesivustolle, jolla hän on käyttänyt verkkopankkitunnuksiaan kirjautuakseen verkkopankkiinsa. Lautakunta katsoo todennäköiseksi, että asiakas on päätynyt valesivuille hakukoneen käyttämisen seurauksena.

Tavanomaiseen verkkopankkiin kirjautumisen tapaan asiakas on käyttänyt verkkopankkiin kirjautuakseen pankkitunnuksiaan. Rikolliset ovat valesivujen kautta tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan pankin tunnistussovelluksen asentamisen omalle laitteelleen. Uuden tunnistussovelluksen asentamisen aloittamisen johdosta pankki on lähettänyt asiakkaalle 22.6.2023 klo 23.38 sovelluksensa käyttöönottoa koskevan vahvistuskoodin sisältäneen tekstiviestin:
”Aktivointikoodi [X]:Ile. KÄYTÄ KOODIA VAIN [X]:n AKTIVIOINTIIN. XXXX"
Em. tekstiviestin lähettäjätietona on asiakkaan puhelimessa näkynyt pankin tunnistussovelluksen nimi X.

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, että myös em. tekstiviestissä olleen koodin on täytynyt päätyä rikollisten tietoon siten, että asiakas on syöttänyt koodin pankin verkkosivuilta näyttäneille valesivuille. Aktivointikoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin tunnistussovelluksen omalle laitteelleen. Pankki on tämän seurauksena lähettänyt asiakkaalle klo 23.39 tekstiviestin:
"[X]:si aktivoituu 24 tunnin kuluttua. Jos et ole aktivoinut [X]:tä, poista se Internetkonttorissa/Mobiilipankissa tai soita Sulkupalveluun."
Tämän tekstiviestin lähettäjätietona on asiakkaan puhelimessa näkynyt pankin nimi.

Asiakkaan kertoman mukaan tapahtuma-aikaan hän maksoi ammattiosaston laskua ja kaikki meni hänen mielestään normaalisti vahvistuskoodeineen ja tekstiviesteineen. Asiakas toimi samalla tavalla kuin aina aikaisemminkin eikä hän huomannut tilanteessa mitään poikkeavaa. Pankki ei ole kommentoinut eikä kiistänyt asiakkaan asiassa kertomaa hänen verkkopankkiasioinnistaan. Pankkilautakunta katsoo näin ollen todennäköiseksi, että asiakas on valesivuilla tapahtuneen kirjautumisyrityksensä jälkeen päätynyt pankin oikeille verkkosivuille, joilla hän on päässyt asioimaan normaalisti ja maksamaan mainitsemansa laskun. Tapauksessa on jäänyt epäselväksi, millä tavalla asiakas on päätynyt rikollisten luomilta valesivuilta oikeille pankin verkkosivuille, mutta lautakunta pitää todennäköisenä, että valesivut ovat ohjanneet asiakkaan eteenpäin pankin oikeille sivuille sen jälkeen kun rikolliset ovat saaneet tavoittelemansa pankkitunnus- ja aktivointikooditiedot tietoonsa valesivujen kautta.

Pankin tunnistussovellus X:n aktivoiduttua seuraavana päivänä rikolliset ovat vielä tästä yli kaksi vuorokautta myöhemmin sovelluksella vahvistaen kirjautuneet asiakkaan verkkopankkiin ja tehneet sovelluksella vahvistaen 26.6.2023 klo 6.22-7.05 yhteismäärältään 131.520,00 euron oikeudettomat tilisiirrot ulkomaille. 

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan yhteys pankin digitaalisiin palveluihin tapahtuu internetin ja verkkosivuston www.[pankki].fi avulla ja asiakas voi käyttää digitaalisia palveluja todistamalla henkilöllisyytensä digitaalisella allekirjoituksellaan, joka koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta, salasanasta ja tunnuslukutaulukosta sekä tietyissä tapauksissa tunnuslukutaulukkoa täydentävästä, tekstiviestinä lähetettävästä kertakäyttökoodista. Ehtojen mukaan asiakkaan on täytettävä digitaalisten palvelujen käyttöä koskevat pankin kulloinkin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä. Ehdoissa asiakas lisäksi sitoutuu noudattamaan pankin antamia ohjeita.

Pankkitunnusehdoissa ei pankin verkkosivuston mainitsemista lukuun ottamatta tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan, taikka kielletä hakukoneen käyttämistä verkkopalveluun hakeutuessa. Pankkilautakunta katsoo tämän lisäksi, ettei yleiseen tietämykseen tapahtuma-aikana voida katsoa kuuluneen tietoa siitä, että pankkien verkkopalveluihin hakeutuminen hakukoneita käyttäen sisältäisi erityisiä turvallisuusriskejä. Pankki ei ole tässä tapauksessa myöskään esittänyt ohjeistaneensa asiakkaitaan verkkopalveluidensa turvalliseen käyttöön tai varoittaneensa asiakkaitaan erilaisista huijauksista ja hakukoneen käyttämisestä. Näin ollen Pankkilautakunta katsoo, ettei asiakkaan voida asiassa saadun selvityksen perusteella katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan verkkopankkiin ja lähtiessään käyttämään pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa käyttötarkoituksessa kirjautuakseen pankin verkkopalveluun.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista poikkeavalla tavalla verkkopankkiin sisäänkirjautumista koskevan tekstiviestin sijaan X:n aktivointikoodin sisältäneen tekstiviestin X-nimiseltä lähettäjältä asiakkaan olisi tullut ymmärtää kyseenalaistaa verkkoasiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Asiakkaan mukaan hän oli maksamassa laskua. Itse maksutapahtumasta asiakkaalla ei ole muistikuvaa, mutta kaikki meni hänen mielestään normaalisti vahvistuskoodeineen ja tekstiviesteineen, eikä hän huomannut tilanteessa mitään poikkeavaa.

Pankkilautakunta katsoo todennäköiseksi, että asiakkaan yritettyä ensimmäistä kertaa kirjautua verkkopankkiin valesivuilla ovat valesivut – asiakkaan syötettyä rikollisten tarvitsemat tiedot - ohjanneet asiakkaan aidoille pankin verkkosivuille. Tämä on todennäköisesti näyttäytynyt asiakkaalle tavanomaisena kirjautumisen epäonnistumisena, ja asiakas on pankin aidoilla verkkosivuilla aloittanut kirjautumisensa uudelleen.

Pankkilautakunta katsoo olevan tavanomaista, että verkkoyhteyksissä ja erilaisten verkkopalvelujen toiminnassa esiintyy häiriöitä. Tämän vuoksi lautakunta katsoo myös, ettei yksinomaan se, että asiakas ei ole yhden kirjautumisyrityksen epäonnistumisen johdosta ymmärtänyt epäillä asiointinsa asianmukaisuutta osoita, että hän olisi menetellyt huolimattomasti pankkitunnuksiaan käyttäessään. Sen sijaan Pankkilautakunta katsoo, että huolellisesti toimiessaan asiakkaan olisi tullut kiinnittää huomiota viestien lähettäjätietoihin ja viestien sisältöihin.

Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään.

Pankkilautakunta katsoo pankin asiakkaalle lähettämän X:n aktivointikoodin sisältäneen tekstiviestin olevan muotoilultaan suppea ja informaatioarvoltaan heikko ja edelleen ilmeiseksi, että ollessaan käsityksensä mukaisesti kirjautumassa pankin verkkopalveluun asiakas on sekoittanut pankilta tekstiviestitse saamansa koodin tavanomaiseen pankin lähettämään verkkopankkiin kirjautumista koskevaan koodiin. Aktivointikoodi-tekstiviestin huomattavista puutteista huolimatta se eroaa pituudeltaan tavanomaisesta verkkopankkiin kirjautumista koskevasta viestistä, sen lähettäjätietona asiakkaan puhelimessa on ollut pankin nimen sijaan X ja siinä todetaan isoin kirjaimin, että viestissä olevaa koodia käytetään vain X:n aktivointiin. Asiakkaan syötettyä viestissä olleen aktivointikoodin kiinnittämättä huomiota em. seikkoihin tekstiviestissä Pankkilautakunta katsoo asiakkaan laiminlyöneen maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan.  

Pankki on minuutti em. tekstiviestin lähettämisen jälkeen lähettänyt asiakkaalle toisen tekstiviestin, jossa pankki kertoo X:n aktivoituvan 24 tunnin kuluttua ja pyytää poistamaan X:n tai soittamaan sulkupalveluun, jos ei ole itse aktivoinut X:ää. Asiakas ei muista viestiä saaneensa, mutta katsoo viestin joka tapauksessa olevan virheellinen ja puutteellinen, ja ettei hän sen perusteella olisi tiennyt olevansa väärällä sivustolla.

Pankin tunnistussovellus on aktivoitunut tekstiviestissä kerrotun mukaisesti vasta 24 tunnin kuluttua em. viestin lähettämisen jälkeen, ja näin ollen on ilmeistä, että asiassa tapahtuneelta vahingolta olisi vältytty, mikäli asiakas olisi viestissä olleen ohjeen mukaisesti esimerkiksi ollut yhteydessä sulkupalveluun. Asiakkaan jätettyä tällä tavoin huomioimatta pankin hänelle hänen verkkoasiointinsa yhteydessä lähettämän tekstiviestin ohjeistuksen Pankkilautakunta asiakkaan menettelyn osoittavan hänen vakavaa varomattomuuttaan.

Ottaen kuitenkin pankin tekstiviestien heikon informaatioarvon lisäksi huomioon, että asiakas on itse käyttänyt pankin digitaalisia palveluita tietokoneeltaan ja paperista tunnuslukutaulukkoa käyttäen eikä hän ole asiassa saadun selvityksen perusteella käsittänyt mitä X tarkoittaa, ja hänen asiointinsa on jatkunut onnistuneesti pankin oikeassa verkkopankissa, lautakunta katsoo edellä todetusta huolimatta, ettei asiakkaan menettely kokonaisuutena kuitenkaan osoita selvää piittaamattomuutta pankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin eikä siten myöskään maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Näin ollen asiakkaan vastuu pankkitunnusten oikeudettomasta käytöstä rajoittuu 50 euroon.

Lopputulos

Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Atrila
Piilo
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä