Händelseförlopp
Kunden föll 8.5.2024 offer för ett bedrägerisamtal som ringdes i bankens namn. Säkerhetsgränsen för kundens konto höjdes, och sedan gjordes en överföring på 27 000 euro från kontot. Höjningen av säkerhetsgränsen och kontoöverföringen bekräftades med bankens identifieringsapp som kunden hade till sitt förfogande.
Kundens klagomål
Kunden önskar få sina 27 000 euro tillbaka då hon inte varit fullt kognitiv och att bankens system borde ta det i hänsyn. Kunden anser att bankens system borde vara säkrare och de borde kunna ta ansvar för att systemet haft brister i att detta inte skulle skett.
Den 8 maj 2024 blev kunden utsatt för ett telefonbedrägeri där bedragare lyckades stjäla 27 000 euro från hennes bankkonto. Kunden har sedan dess försökt få ersättning från sin bank, men de har avslagit hennes begäran med motiveringen att hon själv ska ha gett ut sina koder.
Kunden vill dock uppmärksamma på att hon den 17 april 2024 drabbades av en stroke, vilket har lett till att hon fortfarande lider av hjärntrötthet och andra kognitiva svårigheter. Dessa omständigheter har betydligt försämrat hennes förmåga att fatta välgrundade beslut och att urskilja bedrägeriförsök, vilket gör att hon var särskilt sårbar vid tillfället för bedrägeriet.
Kunden uppfattade hela tiden att hon hade kontakt med sitt eget bankkontor. Personen som ringde uppgav sig arbeta på kontoret och använde dessutom namnet på en verklig kvinnlig bankanställd som kunden känner till. Detta gjorde att samtalet omedelbart kändes äkta och trovärdigt för henne. Brottslingen påstod att banken hade skickat viktiga meddelanden som hon inte hade öppnat och att hon behövde logga in för att ta del av dem. Under samtalet övertalade personen henne att sätta sig vid datorn, logga in på sin internetbank och identifiera sig med sin kodapp för att “läsa meddelandena” som banken påstods ha skickat. Kunden trodde att hon följde helt legitima instruktioner från sin bank och att hon behövde identifiera sig för att lösa ett påstått bankärende.
Kunden blev vilseledd genom att brottslingen effektivt utgav sig för att vara bankpersonal, använde ett namn kunden kände igen och skapade ett påhittat ärende med en känsla av brådska. Kombinationen av lokal förankring, kapad identitet och ett övertygande påstående om tidigare utskickade meddelanden ledde till att hon inte ifrågasatte situationen. Hon hade ingen anledning att tro att samtalet inte kom från banken, och de instruktioner hon fick motsvarade vad många förväntar sig i kontakt med sin bank när det gäller identifikation och inloggning.
Kunden vill framhålla att hon bara någon vecka tidigare hade drabbats av en stroke. Hon var fortfarande hjärntrött, kognitivt nedsatt och stresskänslig vid tillfället. Detta gjorde henne betydligt mer sårbar för manipulation och påtryckningar än hon normalt skulle vara. Hennes medicinska tillstånd påverkade hennes förmåga att fullt ut förstå situationen, bedöma risker och ifrågasätta den information hon fick av personen som ringde.
Mot bakgrund av detta anser kunden att hon inte kan anses ha agerat grovt oaktsamt. Hon utsattes för ett avancerat och systematiskt vilseledande där gärningspersonen medvetet utnyttjade hennes förtroende för banken, hennes lokala kännedom om personalen och hennes tillfälliga medicinska svaghet. Det är kundens uppfattning att hennes tillstånd och den metod som bedragaren använde bör vägas in i bedömningen av ärendet och att banken därmed bör ha ett ansvar i detta fall.
Vid bedrägeriet blev kunden kontaktad av personer som utgav sig för att vara från hennes bank. Under samtalet, på grund av hennes dåvarande hälsotillstånd och påtryckningarna från bedragarna, blev hon manipulerad att avslöja sina koder. Kunden var i ett mycket försvagat och förvirrat tillstånd på grund av hjärntröttheten som följde efter hennes stroke, vilket starkt bidrog till att hon inte kunde skydda sig själv eller sina bankuppgifter på ett adekvat sätt.
Det är uppenbart att kunden har blivit utnyttjad på ett otillbörligt sätt under en period då hon var särskilt sårbar. Kunden anser därför att bankens beslut att avslå hennes ersättningsbegäran inte tar tillräcklig hänsyn till hennes medicinska situation och de extraordinära omständigheterna kring bedrägeriet.
Med tanke på dessa faktorer, ber kunden om att granska hennes fall och överväga att ompröva bankens beslut. Kunden anser att hon har rätt till ersättning för den stulna summan med hänsyn till de särskilda omständigheterna som hon befann sig i vid tidpunkten för bedrägeriet. Sjukhusjournaler finns för att bekräfta vad som har hänt.
Bankens bemötande
Banken har mottagit klagomålet inlämnat av kunden daterad med anhållan om ersättning på 27 000 euro för transaktioner som gjorts 8.5.2024 från hennes konto.
Banken har gjort bedömningen att kunden har försummat sina skyldigheter enligt bankens allmänna villkor för digitala tjänster (Allmänna villkoren) i sådan grad att transaktionen inte omfattas av ersättningsskyldigheten i 62 § i betaltjänstlagen.
Enligt den beskrivning kunden har gett samt bankens egen utredning har kunden gett ut sin digitala underskrift till utomstående och verifierat med bankens ID-applikation. I samband med händelsen har kunden via ID-applikationen fått ett meddelande om höjning av kontots dygnsgräns. Vid godkännande med ID-applikationen framgick tydligt texten ”Ändring av dygnsgräns”. Trots att det ur meddelandet tydligt framgick att det var frågan om en höjning av dygnsgränsen för ett konto, godkände kunden ändringen med ID-applikationen.
Meddelandet om höjning av gränsen:
”Jag indentifierar mig till: [banken].
Bekräftelse-id XXXX
Om bekräftelse-ID inte överensstämmer, avbryt din händelse och ta kontakt med banken.
Ändring av kontots dyngsgräns”
I villkoren för digitala tjänster punkt 1. Allmänt står det att en kund kan använda bankens digitala tjänster (såsom Internetkontoret) genom att styrka sin identitet med sin digitala underskrift. Det är endast kunden själv som har rätt att använda sin digitala underskrift och den får aldrig avslöjas för någon utomstående.
Kunden har per telefon gett sin hemliga och personliga användar-ID som gäller banktjänster till bedragarna. Bedragarna har därmed kunnat mata in kundens användar-ID i sin dator och använt tjänsten Open Banking Trustly. Kunden har själv upprepade gånger godkänt bekräftelse-ID på sin egen mobil via mobilbankapplikationen.
När kunden bekräftade utbetalningen på 27 000 euro såg hon följande meddelande:
”Jag indentifierar mig till: [banken].
Bekräftelse-id XXXX
Om bekräftelse-ID inte överensstämmer, avbryt din händelse och ta kontakt med banken.”
I samband med bedrägeriet företogs en enda utbetalning på 27 000 euro som gick till en mottagare utanför banken. Inga interna överföringar mellan kundens konton gjordes.
Banken hänvisar till sina med betaltjänstlagen förenliga skyldigheter som gäller betalningsinstrument (53 §) och till betaltjänstanvändarens ansvar för obehörig användning av betalningsinstrument (62 §). En betaltjänstanvändare som har överlåtit betalningsinstrumentet till någon som inte är behörig att använda det ansvarar för obehörig användning.
Kunden har själv medgett att hon inte har skyddat sina bankkoder på ett adekvat sätt/på det sätt som krävs och att hon har överlåtit sina bank-koder till en utomstående.
Mot bakgrund av ovanstående anser banken att kunden i samband med den obehöriga transaktionen försummat sina skyldigheter i enlighet med betaltjänstlagen och bankens allmänna villkor för digitala tjänster i sådan grad att kunden anses ha agerat grovt vårdslöst. Därmed anser banken inte sig vara återbetalningsskyldig för transaktioner 8.5.2024 och avslår begäran om ersättning för betalningstransaktionen.
Utredningar
Utöver parternas skrivelser med anknytning till klagomålet har följande handlingar getts in till nämnden:
- Bankens allmänna villkor för digitala tjänster
Beslutsrekommendation
Frågeställning
För att kunna avgöra ansvarsfördelningen mellan kunden och banken behöver Banknämnden först avgöra om det kan anses att kunden har gett sitt i 38 § i betaltjänstlagen avsedda samtycke till betalningstransaktionen i fråga eller om betalningstransaktionen bör betraktas som obehörig. Om det i fallet anses vara fråga om obehörig användning av betalningsinstrument, gäller det för Banknämnden att bedöma om det kan anses att kunden på det sätt som avses i 62 § 1 mom. 1 punkten i betaltjänstlagen har överlåtit sitt betalningsinstrument till någon som inte är behörig att använda det, eller om det kan anses att den obehöriga användningen av betalningsinstrumentet har berott på att kunden av vårdslöshet har försummat sina skyldigheter enligt 53 § 1 mom. i betaltjänstlagen och enligt villkoren för bankkoderna, samt graden av kundens eventuella vårdslöshet.
Tillämpliga lagrum och avtalsvillkor
I 38 § i betaltjänstlagen (290/2010) föreskrivs följande:
En betalningstransaktion får genomföras endast om betalaren har gett sitt samtycke. En betalningstransaktion som betalaren inte har samtyckt till på avtalat sätt anses vara obehörig.
I 53 § 1 mom. i betaltjänstlagen föreskrivs som följer:
Innehavaren av ett betalningsinstrument ska använda detta i enlighet med villkoren för beviljande och användning. Innehavaren ska i synnerhet vidta skäliga åtgärder för att skydda betalningsinstrumentet och tillhörande personliga säkerhetsbehörighetsuppgifter. Villkoren för beviljande och användning av betalningsinstrumentet får inte vara ogrundade, oskäliga eller diskriminerande.
I 54 § 1 mom. i betaltjänstlagen föreskrivs som följer:
Innehavaren av ett betalningsinstrument ska utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som tjänsteleverantören utsett om att betalningsinstrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.
I 62 § i betaltjänstlagen föreskrivs som följer:
En betaltjänstanvändare som har ingått avtal om ett betalningsinstrument med en tjänsteleverantör ansvarar för användningen av ett betalningsinstrument som har förlorats eller orättmätigt innehas av någon annan eller för annan obehörig användning av betalningsinstrumentet endast om den obehöriga användningen beror på att betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet
1) har överlåtit det till någon som inte är behörig att använda det,
2) av vårdslöshet har försummat sina skyldigheter enligt 53 § 1 mom., eller
3) har försummat att utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som denne utsett om att betalningsinstrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.
I de fall som avses i 1 mom. 2 och 3 punkten är betaltjänstanvändarens ansvar för obehörig användning av betalningsinstrumentet högst 50 euro. Denna begränsning tillämpas dock inte om betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet har handlat avsiktligt eller grovt vårdslöst.
Betaltjänstanvändaren ansvarar inte för obehörig användning av betalningsinstrumentet
1) till den del som betalningsinstrumentet har använts efter att tjänsteleverantören eller någon annan som denne utsett har underrättats om att betalningsinstrumentet förlorats, orättmätigt innehas av någon annan eller används obehörigen,
2) om tjänsteleverantören har försummat att se till att en innehavare av ett betalningsinstrument har möjlighet att när som helst göra anmälan enligt 1 punkten,
3) om betalningsmottagaren vid användningen av betalningsinstrumentet inte vederbörligen har försäkrat sig om betalarens rätt att använda instrumentet, eller
4) om tjänsteleverantören inte har krävt stark kundautentisering av betalaren.
Trots 3 mom. är betaltjänstanvändaren ansvarig för obehörig användning av ett betalningsinstrument, om användaren eller någon annan innehavare av betalningsinstrumentet avsiktligt har lämnat en oriktig anmälan eller annars handlat bedrägligt.
I 63 § 1 mom. i betaltjänstlagen föreskrivs som följer:
Om en betalningstransaktion har genomförts obehörigen och om inte något annat följer av 62 § ska tjänsteleverantören till den kund vars medel har använts för att genomföra transaktionen omedelbart och senast följande bankdag efter det att tjänsteleverantören har noterat eller underrättats om transaktionen återbetala transaktionens belopp till kunden eller återställa det debiterade betalkontots kontoställning till vad den skulle ha varit om debiteringen inte hade ägt rum.
I bankens allmänna villkor för digitala tjänster, avsnittet Allmänt, sägs följande:
Kunden kan använda de digitala tjänsterna genom att styrka sin identitet med sin digitala underskrift.
[…]
Bedömning
Händelseförloppet
Banknämnden anser att det i fallet har klarlagts och är ostridigt att kunden under ett telefonsamtal gav sin användar-ID som gällde bankens tjänster till bedragarna. Därmed fick bedragarna tillgång till kundens användar-ID. Innan betalningen gjordes höjde bedragarna säkerhetsgränsen för kundens konto, och kunden såg och godkände själv detta via sin identifieringsapp. Enligt de utredningar som banken gett i ärendet bekräftades den 27 000 euro stora kontoöverföringen som utfördes 8.5.2024 med bankens identifieringsapp som kunden hade tagit i bruk. Banknämnden har inte anledning att tvivla på att den av banken framlagda utredningen, som baserar sig på bankens systemuppgifter, stämmer.
Banknämnden anser att det har klarlagts att kunden bekräftade kontoöverföringen med bankens identifieringsapp. I identifieringsappen visades innan betalningen bekräftades följande text: ”Jag indentifierar mig till: [banken]. Bekräftelse-id XXXX Om bekräftelse-ID inte överensstämmer, avbryt din händelse och ta kontakt med banken.” Innan betalningen bekräftades hade det för kunden inte visats några uppgifter om betalningen, t.ex. summan eller mottagarens kontonummer eller namn. I bekräftelsebegäran nämns det över huvud taget inte att den begärda bekräftelsen gäller en betalning.
Betalarens samtycke till genomförande av betalningstransaktionen
Banknämnden har i sin vedertagna avgörandepraxis ansett att i fall där ett brottsoffer som blivit lurat själv har godkänt de omtvistade betalningarna, t.ex. genom bankens mobilapp som installerats i kundens telefon, och uppgifterna om den betalning som ska bekräftas har visats i appen innan bekräftelsen getts, har banken inte rekommenderats att gottgöra kunden för den skada som uppkommit. I sådana fall har det ansetts att fastän kunden har vilseletts av brottslingar att bekräfta betalningarna har ändå kunden själv gett sitt i 38 § i betaltjänstlagen och i de tillämpliga villkoren avsedda samtycke till betalningarna, och transaktionerna är då inte obehöriga på det sätt som avses i betaltjänstlagen.
Banknämnden anser att det i fallet har klarlagts och är ostridigt att en utomstående genom att vilseleda kunden och i brottsligt syfte har fått tillgång till kundens bankkoder och genom att utnyttja dem har gjort en betalning till en utomstående. För betalningen har det behövts en bekräftelse som gjorts med bankens identifieringsapp som kunden installerat i sin telefon. Även om kunden själv har gjort den bekräftelse som genomförandet av betalningen har krävt är det i fallet alltjämt ostridigt att kunden innan hon gav bekräftelsen inte vare sig i sin identifieringsapp eller någon annanstans har sett uppgifter om betalningen och inte heller i övrigt varit medveten om den.
Banknämnden anser därför – med beaktande av att betalningen gjordes av en brottsling som fått bankkoderna av kunden genom att vilseleda denna och att kunden har gett bekräftelsen utan att känna till att bekräftelsen gällde en betalning – att kunden inte har gett sitt i 38 § i betaltjänstlagen avsedda samtycke till genomförande av betalningen. Därmed anser Banknämnden att betalningen är att betrakta som obehörig i den bemärkelse som avses i betaltjänstlagen.
Överlåtelse av betalningsinstrumentet
Banknämnden konstaterar att den som har gjort den obehöriga betalningen måste ha känt till kundens bankkoder. Ostridigt i fallet är att brottslingarna har fått kundens användar-ID för nätbanken, när kunden under telefonsamtalet vilseletts så att hon gett sin användar-ID till en utomstående.
Banknämnden konstaterar att enligt den regeringsproposition som ledde till att betaltjänstlagen stiftades (RP 169/2009 rd) avses med det i lagens 62 § 1 mom. 1 punkt använda uttrycket överlåtelse av ett betalningsinstrument till någon som inte är behörig att använda det att överlåtelsen av betalningsinstrumentet är frivillig och medveten.
Banknämnden anser att kunden i detta fall trodde sig logga in i nätbanken för att läsa meddelanden som banken hade skickat till henne. Kunden har trott att hon samtidigt skötte bankärenden via telefonen med en bankfunktionär som var bekant för henne. Vidare anser nämnden att kunden därmed inte medvetet har överlåtit sin användar-ID som gällde banken till någon som var obehörig att använda den. Därmed anser nämnden att det i fallet inte är fråga om en sådan överlåtelse av betalningsinstrument som avses i betaltjänstlagen.
För Banknämnden återstår således att bedöma om kunden ska ansvara för den obehöriga användningen av hennes bankkoder enligt 62 § 1 mom. 2 punkten i betaltjänstlagen. Nämnden ska med andra ord bedöma om den obehöriga användningen av bankkoderna beror på att kunden av vårdslöshet har försummat sina skyldigheter enligt lagens 53 § 1 mom. och enligt villkoren för bankens digitala tjänster samt graden av kundens eventuella vårdslöshet.
Bedömning av kundens vårdslöshet
Banknämnden anser att kunden fallit offer för ett skickligt och profes-sionellt genomfört bedrägeri. Utgående från den samlade utredningen anser Banknämnden att det är förståeligt att kunden inte begrep att ifrågasätta om kontakten var korrekt. Med beaktande av att kontakten togs i en för kunden bekant bankfunktionärs namn och att kunden trodde att hon loggade in i nätbanken för att läsa meddelanden som hon hade fått anser nämnden att kunden när hon använde nätbankskoderna och bankens identifieringsapp med fog hade den uppfattningen att hon använde sina nätbankskoder i det syfte som avtalet om dem gäller, då hon själv identifierade sig i sin nätbank.
Beträffande höjningen av kontots säkerhetsgräns som kunden bekräftade konstaterar Banknämnden att meddelandet i kundens identifieringsapp, ”Jag indentifierar mig till: [banken]. Bekräftelse-id XXXX Om bekräftelse-ID inte överensstämmer, avbryt din händelse och ta kontakt med banken Ändring av dygnsgräns” har kunnat leda till att kunden fått den uppfattningen att givandet av bekräftelsen har att göra med inloggningen i nätbanken, eftersom det i meddelandet talas om identifiering. Bara den sista meningen i meddelandet skulle ha kunnat väcka kundens misstankar angående den verkliga innebörden av att bekräftelsen gavs.
I fråga om bekräftelsen av den omtvistade kontoöverföringen fäster Banknämnden särskild vikt vid att kunden innan betalningen bekräftades inte har sett några som helst uppgifter om betalningen någonstans och att texten i hennes identifieringsapp lydde: ”Jag indentifierar mig till: [banken]. Bekräftelse-id XXXX Om bekräftelse-ID inte överensstämmer, avbryt din händelse och ta kontakt med banken.” Enligt Banknämndens uppfattning förstår en genomsnittlig bankkodsanvändare inte nödvändigtvis att meddelandet har med bekräftelse av en kontoöverföring att göra. I detta fall anser Banknämnden därför i princip att det är begripligt att kunden när hon gav bekräftelsen trodde att den anknöt till att hon loggade in i nätbanken eller till att hon uträttade ärenden (läste meddelanden) i nätbanken.
Trots det som ovan konstateras anser Banknämnden vid en samlad bedömning av händelserna – särskilt att kontakt oväntat togs per telefon och att bekräftelser av olika begäranden gavs via bankens identifieringsapp – att kunden redan medan telefonsamtalet pågick borde ha förstått att ifrågasätta åtgärdernas verkliga syfte och avbryta telefonsamtalet. Om kunden hade gått till väga på det sättet skulle den skada som nu uppkom kanske ha gått att undvika. Nämnden anser därför att den obehöriga kontoöverföringen har berott på att kunden av vårdslöshet försummat sina skyldigheter enligt 53 § 1 mom. i betaltjänstlagen. Vidare anser Banknämnden dock att det står klart att det utgående från kundens förfarande inte kan anses att kunden ställer sig klart likgiltig till de säkerhetsrisker som hänför sig till innehavet och användningen av betalningsinstrument, och att kunden därmed inte har handlat av sådan grov vårdslöshet som avses i betaltjänstlagen.
Slutledningar
Banknämnden anser att kunden inte har gett sitt i betaltjänstlagen avsedda samtycke till kontoöverföringen och att det därmed är fråga om obehörig användning av bankkoder som betalningsinstrument. Utifrån den utredning som lagts fram i ärendet anser Banknämnden att den obehöriga användningen har berott på att kunden av vårdslöshet försummat sina skyldigheter enligt 53 § 1 mom. i betaltjänstlagen. Nämnden anser emellertid att kundens förfarande enligt en samlad bedömning inte visar på grov vårdslöshet som avses i betaltjänstlagen.
Med hänvisning till vad som sägs ovan rekommenderar Banknämnden att banken åtar sig att svara för den skada som uppkommit i ärendet, till den del den överstiger 50 euro.
Banknämnden var enig.
BANKNÄMNDEN
Ordförande Sillanpää
Sekreterare Pöntinen
Medlemmar: Atrila, Piilo, Punakivi, Tervonen