Tapahtumatiedot
Näkövammainen ja iäkäs (vuonna 1949 syntynyt) A joutui verkkoavusteisen petoksen uhriksi. A käytti pankkipalveluita Luetus-ohjelman avustuksella. Hän sai 10.5.2023 pankin nimissä sähköpostiviestin huolestuttavasta maksusta, joka sisälsi linkin. A kuunteli viestin ja meni linkistä avautuneelle verkkopankiksi luulemalleen sivustolle, jossa käytti pankkitunnuksiaan sisäänkirjautumiseen. A:n tietokoneen näytöllä näkyi teksti, jossa luki ”peruuta maksu Susanna Hämäläinen 10 000 e”. Sivustolla A yritti hylätä vahvistettavaa maksua syöttämällä sinne avainlukulistan numeron, jonka järjestysnumeron pankki ilmoitti A:lle lähettämissään viesteissä. Napista painamalla tietokone alkoi kuitenkin päivittämään ja vaikutti siltä, että tietokone oli jumissa. Tämä toistui kolme kertaa, jonka jälkeen A huomasi tililtään kadonneen 30 000 euroa.
Pankin A:lle lähettämät viestit olivat seuraavanlaisia:
10.5.2023 klo 8.40.55
Olet maksamassa 10 000,00 EUR tilille FIXX XXXX XXXX XXXX XX. Vahvista maksu avainlukulistan järjestysnumeroa 143 vastaavalla avainluvulla. [Pankki]
10.5.2023 klo 8.43.58
Olet maksamassa 10 000,00 EUR tilille FIXX XXXX XXXX XXXX XX. Vahvista maksu avainlukulistan järjestysnumeroa 14 vastaavalla avainluvulla. [Pankki]
10.5.2023 klo 8.47.41
Olet maksamassa 10 000,00 EUR tilille FIXX XXXX XXXX XXXX XX. Vahvista maksu avainlukulistan järjestysnumeroa 186 vastaavalla avainluvulla. [Pankki]
10.5.2023 klo 8.49.51
Olet maksamassa 10 000,00 EUR tilille FIXX XXXX XXXX XXXX XX. Vahvista maksu avainlukulistan järjestysnumeroa 203 vastaavalla avainluvulla. [Pankki]
Rikolliset olivat kirjautuneet em. valesivujen kautta saamillaan tiedoilla A:n verkkopankkiin ja tehneet verkkopankissa A:n käyttötililtä kolme 10 000 euron tilisiirtoa klo 8.42 - 8.49. Em. tilisiirrot vahvistettiin A:n verkkopankkitunnusten avainlukulistan tietyillä kertakäyttöisillä avainluvuilla, joita vastaavat järjestysnumerot pankki ilmoitti asiakkaalle lähettämissään yllä mainituissa tekstiviesteissä. Neljättä maksua ei vahvistettu ja yksi tilisiirto onnistuttiin palauttamaan, jolloin A:lle aiheutuneen vahingon määräksi tuli 20 000 euroa.
Ennen oikeudettomia tilisiirtoja ulkopuolisen henkilön tilille A:n luotolta siirrettiin hänen käyttötililleen 30 000 euroa rikollisten toimesta ilman vahvaa tunnistamista. Rikoksen huomattuaan A oli yhteydessä pankkiin ja hänen pankkitunnuksensa suljettiin 10.5.2023 klo 8.58.
Asiakkaan valitus
Asiakkaana oleva A:n kuolinpesä vaatii, että pankki korvaa koko huijatun summan tai toisen maksun eli 10 000 euroa tai menetyksen 2 000 euroa ylittävältä osaltaan.
Kuolinpesä perustelee vaatimuksiaan pääpiirteittäin sillä, että sokeutuneella on rajallinen mahdollisuus tunnistaa maksuhuijausta eikä pankeilla ole erityisiä turvamekanismeja sokeiden henkilöiden pankkiasiointiin. Pankki ei ole ottanut vastuuta erityisryhmien pankkiasioinnin turvallisuudesta. Petoksen uhriksi joutuneen A:n toiminta ei ole ollut erityisen huolimatonta.
Huijaukset perustuvat toistuviin maksuihin, mutta silti pankilla ei ole asianmukaisia kontrolleja nykyaikaisia maksuhuijauksia vastaan kuten maksuviiveitä. Vaatimusta 2 000 euroa ylittävän osan korvaamisesta kuolinpesä perustelee sillä, että pankilla ei ole oletusarvoisesti maksurajoja. Lisäksi luottotililtä rahan siirtämisessä omalle tilille ei tarvita vahvistusta. Nämä seikat mahdollistivat sen, että rahaa pystyttiin siirtämään useampi kerta ilman, että varsinaisten tilien saldoilla näkyi muutosta, sillä luottotili on lainojen alla ja sinne pitää mennä katsomaan, jotta näkee sen saldon.
Pankki ei ole myöskään päätöksissään ottanut erityisesti kantaa sokean henkilön pankkiasioinnin turvallisuuteen, kun henkilö käyttää pankkipalvelua Luetus-ohjelman kautta.
Pankille tekemässään oikaisupyynnössä, johon kuolinpesä on lautakunnalle tulleessa valituksessa viitannut, kuolinpesä ilmoittaa kantanaan, että joutuessaan huijatuksi A on toiminut, huomioiden tapahtumainkulku ja A:n sokeus (100 prosentin haitta-aste) sekä korkea ikä, maksuvälineen haltijana huolimattomasti, mutta ei törkeän huolimattomasti. A ei ole esimerkiksi laiminlyönyt vastuutaan ilmoittaa viipymättä oikeudettomasta käytöstä, vaan on tehnyt sen esimerkillisesti. Mikäli pankki ei maksaisi vaadittua korvausta, johtaisi se kohtuuttomaan lopputulokseen näkövammaisen ja iäkkään pankin asiakkaan näkökulmasta.
Kuolinpesä pyytää huomioimaan seuraavat seikat:
- Huijausviestissä viitattiin huolestuttavaan maksuun, ja huijauksessa käytetty nettisivu oli rakennettu siten, että tätä huolestuttavaa maksua oltiin peruuttamassa. Tämä loi painetilanteen.
- A:lla oli käyttötilillään alle 10 000 euroa. Huijaus toteutettiin kuitenkin siten, että oikeudeton käyttäjä siirsi erikseen luottotililtä rahaa käyttötilille, jolloin varat riittivät siirron tekemiseen. A:lla ei sinänsä ollut syytä olettaa, että 10 000 euron maksu voisi edes toteutua, koska tällaisia varoja ei ollut. A oli kuitenkin paineistetussa tilanteessa hyvin huolissaan tällaisesta maksusta, eikä kyennyt toimimaan täysin huolellisesti.
-A käytti sähköpostiviestien lukemisessa, verkkosivujen lukemisessa sekä tekstiviestien lukemisessa näkövammaisille suunniteltuja apuohjelmia, jotka lukevat saapuneet viestit A:lle ääneen. Sekä verkkosivun että tekstiviestien tulkinta on tässä kontekstissa sekä painetilanteessa huomattavasti vaativampaa näkövammaiselle käyttäjälle kuin asiakkaalle, jolla ei ole vastaavia rajoitteita. Vaikka pankin lähettämissä tekstiviesteissä on riidattomasti mainittu maksettava summa ja saajan tilinumero, ovat ne ääneen luettuna ja aikapaineistetussa tilanteessa, jossa iäkäs näkövammainen hallitsee useita laitteita ja pyrkii estämään lähtevän maksun, tulkittavissa virheellisesti.
- Huijauksen tekninen toteutus perustui osin siihen, että käytetty nettisivu jäi pitkäksi ajaksi ns. lataamaan tietoja. Nettiyhteyksien katkot ovat tavallisia eikä usean vahvistuksen antaminen virheellisen maksun ”peruuttamiselle” myöskään osoita törkeää huolimattomuutta.
- A on välittömästi tilanteen selvittyä ollut yhteydessä pankkiin. Tapahtumaketju käynnistyi 10.5.2023 noin klo 8.40 ja alle kahden minuutin kuluttua neljännen tekstiviestin vastaanoton jälkeen, jolloin tilanne realisoitui A:lle, hän oli yhteydessä pankkiin (klo 8.51:41).
- A on toiminut valppaasti parin tekstiviestin jälkeen, sillä hän soitti pankille ja oli ymmärtänyt tarkistaa luottotilin saldon toisesta paikasta verkkopankkia ja siten huomannut joutuneensa huijauksen kohteeksi.
- Maksupalvelulaissa esitettyjen esitöiden mukaan törkeällä huolimattomuudella tarkoitetaan sellaista erittäin vakavaa varomattomuutta, joka osoittaa selvästi piittaamatonta suhtautumista maksuvälineen hallintaan ja käyttöön liittyviin turvallisuusriskeihin.
- A ei ole valtuuttanut luoton nostamista käyttötililleen tai maksun siirtämisestä. A on huolimattomuuttaan kuitannut 10 000 euron maksun tililtä, jonka saldo on ollut alle 10 000 euroa.
- Jos käytössä olisi ollut sekä tekstiviestivahvistus luoton nostamisesta tilille, olisi tämä viesti ollut huolestuttava jo sinällään. Samoin jos käytössä olisi ollut myös käyttörajat tilille automaattisesti, olisi myös tästä tullut erillinen tekstiviesti, joka olisi ollut toinen varmistus siitä, että käyttäjän huoli herää.
Kuolinpesä ei pidä pankin toimia poikkeuksellisten maksujen suhteen riittävinä. Pankin olisi tullut huolehtia siitä, että luottotililtä ei voi nostaa varoja käyttötilille ilman eri vahvistuksia. Koska vahvistusta ei vaadittu, törkeän petoksen tekijä pystyi operoimaan lisävaroja käyttötilille minuuteissa helposti ja nopeasti. Pankin tulisi varmistaa toimintakyvyltään rajoittuneen asiakkaan osalta poikkeavat maksut erityisten varotoimien avulla, esimerkiksi soittamalla. Lisäksi pankin tulisi rakentaa erityisiä kontrollimekanismeja, kuten viiveitä maksujen suorittamisessa toimintakyvyltään rajoittuneille asiakkaille. Pankin tulisi myös järjestää erityistä perehdytystä nettihuijausten välttämiseksi, sillä tiedotteet, johon pankki viittaa, eivät ole näkövammaiselle yhtä lailla saatavilla.
Kuolinpesä tuo esille pankin vastauksen johdosta vielä sen, että jokaisen luottokorttioston (eli noston) yhteydessä pitää valtuuttaa kukin osto erikseen. Tässä kyse oli luotosta, jossa luotto oli myönnetty vuosikausia sitten ja huijari nosti huijauksen yhteydessä luottotililtä lisää luottoa ilman A:n valtuutusta.
Pankin vastine
Pankki kiistää asiakkaan vaatimukset.
Pankki katsoo ensisijaisesti, että A on antanut maksuille maksupalvelulain mukaisen suostumuksen eikä kysymys ole siten oikeudettomasta maksutapahtumasta. Toissijaisesti, tapaukseen liittyvät yksityiskohdat ja kokonaisarviointi huomioon ottaen, pankki katsoo A:n toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti eikä pankki ole korvausvelvollinen aiheutuneesta vahingosta.
Pankin käsityksen mukaan A on syöttänyt linkistä avaamalleen huijaussivustolle kaikki pankkitunnuksensa osat (käyttäjätunnus, salasana ja vaihtuva avainluku asiakkaalla fyysisesti hallussa olevasta avainlukulistasta, jota on pyydetty tekstiviestillä). Jotta maksut on voitu tehdä, on maksun tehneellä taholla pitänyt olla hallussaan kaikki tunnuksen osat. A:n tililtä on tehty tämän jälkeen kolme 10 000 euron tilisiirtoa, joista yksi on onnistuttu palauttamaan. Aiheutuneen vahingon määrä on siis ollut 20 000 euroa.
Tilisiirrot on tehty vahvasti sähköisesti tunnistautuneena ja maksuista on lähetetty A:lle tekstiviestitse lisävahvistuspyynnöt A:n lisävahvistusnumeroon. Maksunvahvistuspyyntöjä on tullut yhteensä neljä, jotka on viimeisintä lukuun ottamatta vahvistettu avainlukulistan numeroilla.
Ensisijaisesti kyseessä on maksupalvelulain mukainen suostumus maksutapahtumille.
A on antanut maksupalvelulain mukaisesti suostumuksensa maksuille. Pankki on A:n kanssa sovitun mukaisesti toimittanut A:lle maksujen vahvistuspyynnöt hänen henkilökohtaisessa käytössään ja tunnuksiin liitettyyn puhelinnumeroon tekstiviestillä. Pyynnöt ovat sisältäneet tiedot maksujen määristä ja saajien tilinumeroista. Vahvistuspyynnöissä maksut on pyydetty vahvistamaan avainlukulistalla. Viestit ovat alkaneet sanoilla "Olet maksamassa", joten viestien sisältö on ollut selkeä ja yksiselitteinen.
Hyväksymällä maksut tekstiviesteissä pyydetyillä vaihtuvilla avainluvuilla A on antanut maksupalvelulain 38 §:n mukaiset suostumukset maksuille, eikä kysymys ole oikeudettomasta käytöstä.
Toissijaisesti kyseessä on tunnuksen haltijan törkeä huolimattomuus.
Maksupalvelulain mukaan asiakas vastaa verkkopalvelutunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos oikeudeton käyttö johtuu siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja verkkopalvelutunnusten yleisten ehtojen mukaisia velvollisuuksiaan, ja asiakkaan huolimattomuuden katsotaan olevan törkeää. Asiakas vastaa pankkitunnusten huolellisesta säilyttämisestä, koska viime kädessä ainoastaan maksuvälineenhaltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän maksuvälinettään säilyttää ja käyttää.
Pankki on useaan otteeseen vuoden 2023 aikana varoittanut asiakkaitaan tietojenkalastelusta. Yleisen tietämyksen ja pankin antamien ohjeiden ja varoitusten perusteella A:n olisi tullut olla tietoinen tunnusten turvallisesta käytöstä. Pankki on kieltänyt asiakkaitaan kirjautumasta linkin kautta palveluihinsa pankkitunnussopimuksessa, sopimuksen tekemisen sekä ehtomuutosten yhteydessä annetussa ”Tärkeää tietoa [pankki] tunnuksistasi” -asiakirjalla sekä muutoinkin viestinnässään.
Tässä tapauksessa A on saanut sähköpostilla linkin, josta avautuneelle sivulle hän on sopimusehtojen vastaisesti kirjautunut pankkitunnuksillaan. Tämän jälkeen A on saanut neljä vahvistuspyyntöä maksuille, joita hän ei ole itse käynnistänyt. A on luovuttanut kolmen ensimmäisen vahvistuspyynnön mukaiset avainluvut maksut käynnistäneelle taholle. A on joko jättänyt lukematta pankin lähettämät viestit tai ainakin jättänyt huomiotta viestien sisällön. A:n menehtymisen vuoksi enää ei valitettavasti ole mahdollista saada lisäselvitystä tapahtumista tai siitä, miten hän on tilanteen ymmärtänyt.
Kun otetaan huomioon edellä kuvatut yksityiskohdat; kirjautuminen sähköpostilinkin kautta sekä useiden maksujen vahvistaminen vaihtuvilla avainluvuilla, pankki katsoo A:n toimineen kokonaisuutena arvioiden törkeän huolimattomasti. Maksujen lisävahvistaminen normaalin vahvistuksen lisäksi osoittaa, että asiakas ei joko lukenut hänelle lähetettyjä viestejä tai on jättänyt ne kokonaan huomiotta.
Lukulaitteen käyttäminen pankin viestien lukemiselle on ollut A:lle normaali tapa toimia ja näin ollen tässä tilanteessa ei ole syytä asettaa näkövammaista eriarvoiseen asemaan. Maksupalvelulain mukaisesti olennaista on A:n oma toiminta; suostumuksen antaminen tai törkeä huolimattomuus johtavat siihen, että vastuu oikeudettomista maksuista jää A:lle. Pankin viestit ovat olleet yksiselitteisiä ja informatiivisia, viestit ovat alkaneet sanoilla "olet maksamassa" sekä sisältäneet tiedon maksunmäärästä ja -saajasta. Näin ollen pankki ei ole asiassa korvausvelvollinen, vaan korvaushakemuksen kohteena oleva oikeudeton käyttö jää kokonaisuudessaan A:n omalle vastuulle.
Pankki on aktiivisesti varoittanut asiakkaitaan verkkopalvelutunnusten kalastelukampanjoista verkkosivuston tiedotteillaan 5.5.2023, 27.3.2023, 3.3.2023 ja 9.1.2023. Pankki on ohjeistanut asiakkaitaan olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistanut, ettei verkkopankkiin saa kirjautua sähköpostitse tulleen linkin kautta. Lisäksi pankki on ohjeistanut, että kirjauduttaessa verkkopankkiin, tulee kirjoittaa verkkopankin osoite selainriville itse tai käyttää tallennettua kirjanmerkkiä. Jos mahdollista, asiointiin on suositeltu käytettävän pankin mobiilisovellusta.
Lisäksi pankki vetoaa maksupalvelulain säännöksiin, pankkitunnusehtojensa kohtaan koskien tunnusten säilyttämistä ja sallitun käytön rajoituksia sekä kohtaan koskien kuluttajan vastuuta tunnusten oikeudettomasta käytöstä sekä A:lle pankkitunnus- ja digisopimuksen tekemisen yhteydessä annettuun ”Tärkeää tietoa [pankin] tunnuksistasi” -nimiseen asiakirjaan, jossa todetaan:
"Pankki, poliisi tai viranomainen ei koskaan kysy tunnustasi tai sen osia puhelimessa tai esimerkiksi tekstiviestillä, sähköpostilla tai pikaviestipalvelulla. Näin toimii vain rikollinen. Jos sinulle lähetetään linkki viestinä, älä kirjaudu tai anna tunnuksesi osia sen kautta. Vahvista [pankin mobiilisovelluksella] tai Avainlukulistalla vain ne tapahtumat, joita olet itse tekemässä.
Tarkista sivuston osoite, jolle syötät tunnuksesi. [Pankin] palveluihin voit kirjautua turvallisesti [pankin] mobiilisovelluksessa tai kirjoittamalla verkkoselaimen osoiteriville [pankin verkko-osoite]. Tunnus on turvallista antaa myös palveluihin, jotka on kerrottu [pankin] verkkosivuilla osoitteessa [pankin verkkosivuston osoite] "Täältä voit tarkistaa [pankin] tarjoamien palveluiden osoitteet ja nimet"."
Kyse on ollut asiakkaalle jo aiemmin myönnetyn luoton siirtämisestä asiakkaan tilille käytettäväksi, ei uuden luoton myöntämisestä. Tämän vuoksi erillistä vahvistusta ei ole siirrosta asiakkaalta vaadittu. Varat olivat vielä siirron jälkeen asiakkaan hallussa ja käytössä hänen omalla tilillään. Tilien käyttörajat ovat asiakkaiden itsensä asetettavissa ja muutettavissa johtuen eri asiakkaiden yksilöllisistä tarpeista. Maksupalvelulain mukaan olennaista on arvio asiakkaan huolellisuudesta tapahtuneessa, ei pankin toiminta. Pankki on toiminut lain ja sopimusehtojen mukaisesti.
Muilta osin asiakkaan lisävastauksessa on kyse spekulaatiosta. Jos A on ollut tietoinen siitä, että hänen tilillään on alle 10 000 euroa, olisi hänen tullut epäillä huijausta jo senkin vuoksi, että vahvistuspyyntöjä on tullut useammalle siirrolle. Vahvistuspyynnöissä on pyydetty vahvistamaan maksu. Huolellisesti toimiessaan asiakkaan ei olisi tullut vahvistaa maksuja, joita ei itse ole ollut tekemässä.
Kyse on ollut A:lle jo aiemmin myönnetyn luoton siirtämisestä A:n tilille käytettäväksi, ei uuden luoton myöntämisestä. Voimassa olevat sääntelystandardit sallivat sen, ettei omien tilien välisiin siirtoihin tarvitse käyttää vahvaa tunnistamista, vaan vahvan tunnistamisen vaatimuksesta voidaan poiketa. A:lle on aiheutunut vahinkoa vasta, kun varoja on siirretty asiakkaan tililtä ulkopuoliselle saajalle pois asiakkaan hallusta. A:lle on lähetetty tekstiviestitse vahvistuspyynnöt tilisiirroista ulkopuoliselle saajalle. Pankin tekstiviestitse asiakkaalle toimittamissa vahvistuspyynnöissä on kerrottu, että asiakas on maksamassa 10 000,00 euroa tilille FI86 XXXX XXXX XXXX XX, ja maksut on pyydetty vahvistamaan viesteissä mainittuja numeroita vastaavilla avainluvuilla. Pankki toteaa, että nämä tapahtumat, joissa varat ovat siirtyneet ulkopuoliselle pois asiakkaan hallusta, on toteutettu vahvasti sähköisesti tunnistautuneena. Pankki haluaa korostaa, että mikäli asiakas ei tekstiviestin saatuaan olisi luovuttanut paperisen avainlukulistansa numeroa ulkopuoliselle, olisi vahinko jäänyt kokonaan toteuttamatta.
Kirjautuminen pankin verkkopalveluun on edellyttänyt, että A on syöttänyt palveluun tunnusluvun, salasanan ja vaihtuvan avainlukulistan numeron. Avainlukua ei ole pyydetty tekstiviestillä, vaan pyyntö on tässä tapauksessa näytetty ainoastaan kirjautumissivulla, joka on todellisuudessa ollut siis huijaussivu, ei oikea pankin sivu. Kirjautuminen ei ole tapahtunut vahvasti sähköisesti tunnistautuneena, mutta tässä tapauksessa pankilla on ollut mahdollisuus hyväksyä tällainen kirjautuminen maksupalvelulain mukaan Suomessa sovellettavien teknisten sääntelystandardien perusteella. Standardin mukaisesti on mahdollista poiketa vahvan sähköisen tunnistamisen vaatimuksesta niin, että vahvaa tunnistautumista kirjautumisen yhteydessä pyydetään vain 180 päivän välein. Asiakkaan luotolta on siirretty käyttötilille 30 000 euroa. Maksut käyttötililtä on vahvistettu tekstiviesteissä pyydetyillä avainlukulistan numeroilla.
Pankkilautakunta on asian arviointia varten pyytänyt pankilta selvitystä siitä, olisiko luotolta ollut mahdollista suorittaa tilisiirto suoraan ulkopuolisen tahon tilille. Pankki on vastannut, että kyseiseltä jatkuvalta luotolta on mahdollista siirtää varoja ainoastaan asiakkaan omalle kyseisen pankin tilille.
Selvitykset
Osapuolten välisen kirjeenvaihdon lisäksi lautakunnalla on ollut käytettävissään muun muassa seuraavat asiakirjat:
Asiaan soveltuvat pankkitunnusehdot, voimassa 18.11.2022 alkaen
Ratkaisusuositus
Kysymyksenasettelu
Ensisijaisesti asiassa on ratkaistava, onko asiakas antanut maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa reklamoiduille tilisiirroille vai onko tilisiirtoja pidettävä oikeudettomina. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on asiassa arvioitava, voidaanko asiakkaan katsoa luovuttaneen maksuvälineensä sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla tai voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on ollut.
Siltä osin kuin vastuu oikeudettomasta käytöstä jäisi asiakkaalle, asiassa tulee vielä arvioitavaksi, mikä merkitys vahvan tunnistamisen puuttumisella luotolta siirron osalta on asiakkaan ja pankin välisen vastuunjakoon.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 38 § 1 momentin mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.
Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksupalvelulain 62 §:n mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Maksupalvelulain 85 c §:n 1 momentin mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1)käyttää maksutiliään tietoverkon välityksellä;
2)käynnistää sähköisen maksutapahtuman;
3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
Maksupalvelulain 85 c §:n 5 momentin mukaan
Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.
Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366 (toinen maksupalveludirektiivi/PSD2) johdanto-osan 72 mukaan
Maksupalvelunkäyttäjän mahdollisen huolimattomuuden tai törkeän huolimattomuuden arvioimisessa olisi otettava huomioon kaikki olosuhteet. Väitetyn huolimattomuuden osoittava näyttö ja huolimattomuuden vakavuusaste olisi yleensä arvioitava kansallisen lainsäädännön mukaisesti. Huolimattomuuden käsite viittaa huolellisuusvelvollisuuden rikkomiseen, mutta törkeä huolimattomuus olisi sen sijaan määriteltävä vakavammaksi kuin pelkkä huolimattomuus niin, että se sisältää käyttäytymisen, johon kuuluu merkittävä määrä piittaamattomuutta, esimerkiksi maksutapahtuman toteuttamiseksi annettuun hyväksymiseen käytettyjen turvatunnuksien säilyttäminen maksuvälineen rinnalla avoimessa ja kolmansille osapuolille helposti havaittavassa muodossa. […]
Pankin 18.11.2022 alkaen voimassa olleiden tunnus- ja digisopimuksen (jäljempänä pankkitunnusehdot) tunnusten säilyttämistä ja sallitun käytön rajoituksia koskevan ehtokohdan mukaan
[…]
Tunnusta tai osaa niistä et koskaan saa:
–luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille.;
–antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella etkä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.
[…]
Pankkitunnusehtojen kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä koskevan ehtokohdan mukaan
Vastaat Tunnusten oikeudettomasta käytöstä, jos
1. olet luovuttanut tunnuksesi niiden käyttöön oikeudettomalle,
2. tunnuksen tai sen osan katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu omasta huolimattomuudestasi tai siitä, että olet laiminlyönyt näiden ehtojen 16. tai 17. kohdan mukaiset velvollisuutesi tai
[…]
Vastaat tunnuksen oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos olet luovuttanut tunnuksesi niiden käyttöön oikeudettomalle.
Pankkitunnusehtojen Tunnusten käyttäminen -kohdan [pankin] digitaalisten palveluiden käyttö -alakohdan mukaan
[…]
Kirjaudut [pankki].fi-palveluun kirjoittamalla osoitteen [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun olet velvollinen tarkistamaan, että [pankki].fi-verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [pankki] Ryhmään kuuluvalle yhtiölle (esim. […]. SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä. […]
Pankkitunnusehtojen Maksutoimeksiannot -kohdan mukaan
Voit antaa pankille maksutoimeksiantoja [pankin] digitaalisissa palveluissa. […]
[Pankin] digitaalisiin palveluihin kirjautumisen jälkeen annat suostumuksesi maksutoimeksiannon toteuttamiseen hyväksymällä toimeksiannon. Tämä koskee myös Verkkomaksu-painiketta.
[…]
Asian arviointi
Tapahtumatiedot
Tapauksessa on riidatonta, että A on saanut pankin nimissä ja osoitteesta [email protected] lähetetyn sähköpostin, jonka aiheena on ollut ”VL: Toiminta tililläsi huolestuttaa — Tarkista maksu nyt!”. Viestissä olleen linkin kautta avautuneilla rikollisten luomilla valesivuilla A on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankin kanssa. Rikolliset ovat näin tietoonsa päätyneillä A:n pankkitunnustiedoilla kirjautuneet asiakkaan verkkopankkiin. Tämän jälkeen rikolliset ovat siirtäneet A:n luotolta hänen käyttötililleen 30 000 euroa ilman vahvaa tunnistamista ja aloittaneet maksutoimeksiantojen tekemisen ulkopuolisen henkilön tilille, minkä seurauksena pankki on lähettänyt seuraavat tekstiviestit A:lle:
10.5.2023 klo 8.40.55
Olet maksamassa 10 000,00 EUR tilille FIXX XXXX XXXX XXXX XX. Vahvista maksu avainlukulistan järjestysnumeroa 143 vastaavalla avainluvulla. [Pankki]
10.5.2023 klo 8.43.58
Olet maksamassa 10 000,00 EUR tilille FIXX XXXX XXXX XXXX XX. Vahvista maksu avainlukulistan järjestysnumeroa 14 vastaavalla avainluvulla. [Pankki]
10.5.2023 klo 8.47.41
Olet maksamassa 10 000,00 EUR tilille FIXX XXXX XXXX XXXX XX. Vahvista maksu avainlukulistan järjestysnumeroa 186 vastaavalla avainluvulla. [Pankki]
10.5.2023 klo 8.49.51
Olet maksamassa 10 000,00 EUR tilille FIXX XXXX XXXX XXXX XX. Vahvista maksu avainlukulistan järjestysnumeroa 203 vastaavalla avainluvulla. [Pankki]
Asiassa on riidatonta myös se, että em. viestien mukaiset avainluvut ovat kolmen ensimmäisen maksun osalta päätyneet rikollisille siten, että A on syöttänyt avainluvut valesivuille tarkoituksenaan maksun peruuttaminen. Avainluvut saatuaan rikolliset ovat voineet vahvistaa maksutoimeksiannot A:n verkkopankissa. Neljättä maksua ei ole vahvistettu ja yksi tilisiirto on onnistuttu palauttamaan, jolloin A:lle aiheutuneen vahingon määräksi on jäänyt 20 000 euroa. A:lle on ollut yhteydessä pankkiin klo 8.51:41 ja hänen pankkitunnuksensa on suljettu.
Suostumus maksutapahtuman toteuttamiselle
Asiassa on riidatonta, että A on harhaanjohdettuna syöttänyt pankkitunnustietonsa valesivustolle, ja että rikolliset ovat tehneet maksutoimeksiannot ja vahvistaneet ne omalla laitteellaan ollessaan A:n verkkopankissa. Em. perusteella Pankkilautakunta katsoo, ettei A ole itse vahvistanut tilisiirtoja eikä siten ole myöskään antanut maksupalvelulain 38 §:ssä tai pankkitunnusehdoissa tarkoitettua suostumustaan maksutoimeksiantojen toteuttamiselle. Näin ollen tilisiirtoja on pidettävä maksupalvelulaissa tarkoitetulla tavalla oikeudettomina.
Pankkitunnusten ja maksuvälineen luovuttaminen
Maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle. Tässä tapauksessa A on asiointinsa ajan ja pankkitunnuksiaan verkkopankin verkkosivuilta näyttäneillä valesivuilla käyttäessään luullut asioivansa pankkinsa kanssa. Näin ollen Pankkilautakunta katsoo, että A ei ole tietoisesti luovuttanut pankkitunnustietojaan niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai pankkitunnusehdoissa tarkoitetusta tunnusten luovuttamisesta.
Asiassa tulee siten arvioitavaksi, johtuuko pankkitunnusten oikeudeton käyttö siitä, että A on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, ja minkä asteista A:n mahdollinen huolimattomuus on ollut.
Huolimattomuuden arviointi
Pankkitunnusehdoissa kielletään kirjautuminen pankin digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta. Lisäksi ehtojen mukaan pankin palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville ja ennen kirjautumista palveluun asiakas on velvollinen tarkistamaan, että verkkosivusto on suojattu SSL-suojauksella. Näitä ehtoja on korostettu pankkitunnusehtojen tekemisen yhteydessä annetulla ”Tärkeää tietoa [pankin] tunnuksistasi” -nimisellä asiakirjalla, jossa on myös ohjeistettu asiakasta olemaan kirjautumatta, jos linkki lähetetään viestinä. Samoin on ohjeistettu tarkastamaan sivuston osoite, jolle tunnuksia syötettään.
Pankkilautakunta katsoo, että A on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan sähköpostiviestissä olleen linkin kautta avautuneilla sivuilla sekä jätettyään tarkastamatta kyseisen verkkosivuston suojauksen ja osoitteen.
Pankkilautakunta kiinnittää kuitenkin huomiota siihen, nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin lähettävät asiakkailleen asiointia koskevia linkkejä sisältäviä viestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan viestin asianmukaisuutta.
Kun linkistä on avautunut pankin verkkosivuilta vaikuttaneet sivut ja A on verkkosivujen perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei A:n laiminlyönti pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin tavallista suurempaa huolimattomuutta.
Pankkilautakunnan vakiintuneen ratkaisulinjan mukaan huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluu se, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään.
Tässä tapauksessa A on saanut pankilta tavanomaisia maksun vahvistamista koskevia viestejä, jotka ovat alkaneet sanoin ”Olet maksamassa 10 000,00 EUR” ja joissa on kerrottu vahvistettavan maksun tiedot. Tämän osalta lautakunta katsoo, että vaikka pankin verkkosivuilta näyttävillä valesivuilla olisi esitetty kyseistä avainlukua edellytettävän viestissä ilmoitetun suuruisen maksun perumiseen, asiakkaan olisi tullut ymmärtää keskeyttää asiointinsa ja jättää pyydetty avainluku syöttämättä sivuille. Mikäli asiakas viimeistään ensimmäisen maksun vahvistamista koskevan viestin saatuaan olisi ottanut yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Pankkilautakunta on aiemmin antamissaan päätöksissä arvioinut asiakkaan menettelyn huolellisuutta vastaavan kaltaisissa tapauksissa (esimerkiksi FINE-070210, FINE-057560, FINE-065731), joissa asiakas on luovuttanut maksun vahvistamista koskevassa viestissä ilmoitetun avainlukulistan numeron pankin verkkosivuilta näyttäneille valesivuille maksun peruuttamistarkoituksessa. Pankkilautakunta on päätöksissään todennut asiakkaan menettelyn osoittavan hänen erittäin vakavaa varomattomuuttaan ja katsonut – ottaen erityisesti huomioon sen, että asiakkaan pankiltaan saamassa tavanomaisissa maksujen vahvistamista koskevissa tekstiviesteissä selvästi ilmaistaan asiakkaan olevan maksamassa ja kerrotaan vahvistettavien maksujen tiedot – asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Lautakunta ei ole edellä mainituissa päätöksissään suosittanut hyvitystä vaan on katsonut asiakkaan vastaavan oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti asiakkaan ja pankin välisessä suhteessa.
Sen sijaan tapauksessa FINE-071859 (ratkaistu 22.10.2024) lautakunta on päätynyt toisenlaiseen lopputulokseen otettuaan huomioon tapauksen erityispiirteet. Tapauksessa rikollisten lähettämät tekstiviestit olivat asiakkaan puhelimessa tulleet samaan viestiketjuun pankin lähettämien viestien kanssa. Pankkilautakunta otti arvioinnissaan erityisesti huomioon sen, miten taidokkaasti rikolliset olivat - asiakkaalle lähetetyt tekstiviestit ja valesivujen sisältö huomioiden - pankkitunnustietojen verkkourkinnan toteuttaneet ja miten asiakas oli voinut tämän johdosta perustellusti ymmärtää käyttävänsä maksunvahvistusviesteissä mainittuja avainlukuja nimenomaan estääkseen rahojensa menettämisen. Asiakkaan menettelyn ei tapauksessa katsottu osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta, jolloin asiakkaan vastuu pankkitunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittui 50 euroon.
Nyt arvioitavana oleva tapaus poikkeaa aiemmista tapauksista siinä, että A on ollut iäkäs näkövammainen henkilö, ja hän on käyttänyt tapahtumien aikaan apuohjelmaa, joka on lukenut verkkosivun ja saapuneet tekstiviestit hänelle ääneen.
Toisen maksupalveludirektiivin johdanto-osan mukaan maksupalvelunkäyttäjän mahdollisen huolimattomuuden tai törkeän huolimattomuuden arvioimisessa olisi otettava huomioon kaikki olosuhteet. Väitetyn huolimattomuuden osoittava näyttö ja huolimattomuuden vakavuusaste olisi yleensä arvioitava kansallisen lainsäädännön mukaisesti. Maksupalvelulain esitöissä (HE 169/2009, 62 §:n yksityiskohtaiset perustelut) todetaan törkeän huolimattomuuden arvioinnin olevan kokonaisharkintaa, jossa voidaan kiinnittää huomiota erityisesti vahinkoriskin suuruuteen ja varotoimenpiteiden toteuttamismahdollisuuteen.
Asiakkaan annettua kolme tilisiirron vahvistamista varten pyydettyä avainlukua verkkosivuille asiaa kyseenalaistamatta Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen vakavaa varomattomuuttaan. Asiassa saadun kokonaisselvityksen perusteella ja ottaen huomioon asiakkaan nopean toiminnan rikoksen havaittuaan sekä hänen korkean ikänsä, näkövammansa ja apuohjelman käyttämisen – mitkä seikat objektiivisesti arvioiden ovat heikentäneet asiakkaan mahdollisuuksia havaita tämänkaltainen rikollinen toiminta ja ryhtyä tarvittaviin varotoimenpiteisiin – lautakunta katsoo, ettei asiakkaan menettelyn kokonaisuutena kuitenkaan voida katsoa osoittavan hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin, ja ettei asiakkaan menettely näin ollen myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.
Lopputulos
Pankkilautakunta katsoo oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan vakavaa varomattomuutta osoittavalla tavalla, mutta ei kokonaisuutena arvioiden kuitenkaan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta osoittavalla tavalla. Näin ollen asiakkaan vastuu pankkitunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu 50 euroon.
Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Tykkä
Jäsenet:
Atrila
Ketola
Punakivi
Tervonen