Haku

FINE-68146-X6M2V

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-68146-X6M2V (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 25.04.2025

Miten vastuu asiakkaan verkkopankissa tehdyistä ja asiakkaan puhelimessa olevalla pankin tunnistussovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksajan suostumus maksutapahtumalle.

Tapahtumatiedot

Pankin järjestelmän lokitietojen mukaan asiakkaan verkkopankkiin kirjautuminen on vahvistettu 25.3.2024 klo 17:51:54 puhelimessa olevalla pankin tunnistussovelluksella, joka oli asiakkaan nimissä ja oli otettu käyttöön 11.11.2020. Kyseisellä sovelluksella on vahvistettu esimerkiksi 21.3.2024 verkkopankissa tehtyjä maksuja, joita ei ole reklamoitu pankille. Sovellus on otettu pois käytöstä 9.4.2024.

Asiakkaan verkkopankissa on tehty 25.568,16 euron tilisiirto, joka on vahvistettu em. tunnistussovelluksella klo 17:56:13. Tunnistussovelluksessa on näkynyt seuraava teksti:

”25.3.2024 klo 17:56:01
[Pankin verkkopankki] pyytää vahvistusta
Haluan maksaa
summa: 25 568,16 EUR
saaja: [Asiakkaan nimi]
tilille: [Maksunsaajan tilinumero]
päiväys: 25.3.2024
tililtä: [Maksajan tilinumero]”

Samalla sovelluksella on vahvistettu klo 17:56:55 lisävahvistus, jossa on lukenut seuraavaa:

”25.3.2024 klo 17:56:35
[Pankin verkkopankki] pyytää vahvistusta
Olet tekemässä maksua joka vaatii lisävahvistuksen
summa: 25 568,16 EUR
tilille: [Maksunsaajan tilinumero]
saaja: [Asiakkaan nimi]
tililtä: [Maksajan tilinumero]”

Edellä mainittu 25.568,16 euron tilisiirto on toteutunut. Asiakas on poliisille tekemänsä ilmoituksen mukaan huomannut varojen katoamisen 4.4.2024, jolloin hän on ollut yhteydessä pankkiin. Pankki on pyrkinyt saamaan varat takaisin, mutta niitä ei ole saatu palautettua.

Asiakkaan valitus

Asiakkaan asiamies on toukokuussa 2024 pankille tekemässään valituksessa kertonut, että asiakas oli saanut 24.3.2024 klo 18.44 sähköpostin veronpalautuksen hyväksymisestä. Asiamiehen mukaan sähköpostissa olevan liitteen asiakas ”on erehdyttävällä oheisella OmaVero -lomakkeen pyynnöllä vahvistanut henkilöllisyytensä eli henkilötietonsa voidakseen nähdä, onko hänelle tullut veronpalautusta”. Asiamiehen mukaan asiakas ei ollut tehnyt mitään muuta toimenpidettä.

Pankkilautakunnalle tekemässään valituksessa asiakkaan asiamies on kertonut, että asiakkaan tiedossa ei ole, miten joku olisi saanut haltuunsa hänen pankkitunnuksensa. Asiakas ei ole antanut pankkitunnuksiaan kenellekään. Asiakas oli huomannut varojen katoamisen 4.4.2024. Asiakas ei tunne henkilöä, jonka tilille varat on siirretty.

Pankki on sallinut varojen siirron ilman asiakkaan suostumusta tai varmistamasta asiakkaalta tilisiirron oikeellisuutta. Pankki ei ole osoittanut, että asiakas olisi hyväksynyt maksua. Asiakas ei ole menetellyt huolimattomasti eikä ainakaan törkeän huolimattomasti. Pankin järjestelmässä on täytynyt olla tietoturva-aukko. Nimeämällä maksun saajaksi maksajan nimen pankin järjestelmä tulkinneen maksun tilisiirroksi omalle tilille, jolloin vahvistuspyyntöä ei ole tehty.

Asiakas vaatii pankkia maksamaan hänen tililtään perusteettomasti siirretyt varat korkolain mukaisine viivästyskorkoineen maksupäivästä. Lisäksi asiakas vaatii pankkia korvaamaan asiamiehen asianajokulut asian hoitamisesta, yhteensä 4.000 euroa.

Pankin vastine

Pankki on vastineessaan todennut, että asiakkaan asiamiehen toimittamassa reklamaatiossa kerrotaan hieman erilai­sesta huijauksesta kuin mistä asiakas on itse kertonut pankin asiakaspalvelulle. Näin ollen varmuutta siitä, millaisesta kalastelutapauksesta on kyse, ei ole. Asiakaspalvelulle asiakas on kertonut saaneensa tekstiviestin, jossa luki, että käyttäjätunnus on uusittu ja viestissä ilmoitettiin uusi käyttäjätunnus. Asiakas uskoi, että hänen verkkopankkitunnuksensa on uusittu ja ilmeisesti hän linkin kautta syötti sivustolle uuden käyttäjätunnuksen, joka ei kuitenkaan toiminut. Sitten hän syötti vanhan käyttäjätunnuksensa ja onnistui kirjautumaan verkkopankkitunnuksillaan jonnekin. Asiakas ei jälkikäteen löytänyt viestiä, eikä muis­tanut mistä numerosta se tuli ja mitä linkkiä hän klikkasi.

Huijausmuodosta riippumatta asiakas on joka tapauksessa ilmeisesti syöttänyt verkkopankin käyttäjätunnuksensa huijaussivustolle, ja tämän jälkeen hyväksynyt sivullisen kirjautumisen verkkopankkiinsa ja sivullisen tekemän maksun pankin tunnistussovelluksellaan.

Pankin lokitiedoista on todettavissa, että asiakkaan tunnistussovelluksella, joka on aktivoitu käyttöön 11.11.2020, on vahvistettu 25.3.2024 maksu 25.568,16 euroa. Tätä ennen asiakkaan tunnistussovelluksella on hyväksytty kirjautuminen verkkopankkiin, jossa maksu on päästy tekemään. Tapauksessa maksulle on vaadittu myös lisävahvistus, joka on hyväksytty asiakkaan tunnistussovelluksella.

Vahvistusviesteissä näkyy saajana asiakkaan oma nimi, koska se on syötetty maksutoimeksiannossa maksunsaajan nimeksi, vaikka vastatilin omistaja on todellisuudessa muu henkilö.

Pankin lokitietojen perusteella riidanalainen maksu on vahvistettu asiakkaan tunnistussovelluksella, jossa olennaiset maksutiedot näytetään myös maksun hyväksymisen yhteydessä. Kun asiakas antaa pankille maksupalvelulain mukaisen suostumuksensa maksun veloittamiseen, maksu ei ole oikeudeton, vaikka maksu jälkikäteen osoittautuisikin liittyvän huijaustapaukseen. Siten pankilla ei ole velvollisuutta korvata asiakkaalle vahinkoa, joka on aiheutunut riidan kohteena olevasta maksusta.

Pankki on toteuttanut maksun tilinumeron eli yksilöivän tunnisteen perusteella. Maksupalvelulain 44 § merkitsee, ettei pankilla ole velvollisuutta tarkistaa, että yksilöivä tunniste vastaa maksutoimeksiannossa annettuja muita tietoja. Pankilla ei ole ollut tapauksessa velvollisuutta tarkistaa, että vastaanottajan tilinumero ei kuulu maksunsaajaksi ilmoitetulle henkilölle.

Pankki katsoo siten, että asiakas vastaa itse hyväksymästään maksusta

Selvitykset

Osapuolten välisen kirjelmöinnin lisäksi asiassa on toimitettu pankkitunnusehdot ja pankin tiedotteita turvallisesta pankkiasioinnista.

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. tilisiirrolle vai onko maksutapahtumaa pidettävä oikeudettomana.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain (290/2010) 38 §:n 1 momentin mukaan:
”Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.”

Lain 44 §:n mukaan:
”Palveluntarjoaja saa toteuttaa maksutapahtuman yksilöivän tunnisteen perusteella, vaikka maksupalvelun käyttäjä olisi antanut sen lisäksi muitakin tietoja maksutapahtuman toteuttamiseksi.”

Lain 72 §:n (898/2017) mukaan:
”Jos maksupalvelun käyttäjä kiistää antaneensa suostumuksensa maksutapahtuman toteuttamiseen, hänen palveluntarjoajansa on osoitettava, että suostumus on annettu sovitulla tavalla. Jos maksupalvelun käyttäjä väittää, että maksutapahtumaa ei ole toteutettu asianmukaisesti, palveluntarjoajan on osoitettava, että maksutapahtuma on kirjattu ja merkitty tileille oikein ja ettei maksutapahtuman käsittelyyn ole vaikuttanut tekninen vika tai muu häiriö.

Jos maksutapahtuma on käynnistetty maksutoimeksiantopalvelun tarjoajan välityksellä, tällä on todistustaakka 1 momentissa tarkoitetuista seikoista oman suorituksensa osalta ja siitä, että maksajan maksutiliä pitävä palveluntarjoaja on vastaanottanut maksutoimeksiannon.

Se seikka, että palveluntarjoaja voi näyttää, että suostumus maksutapahtuman toteuttamiseen on annettu maksuvälineellä, ei välttämättä yksin riitä osoittamaan, että maksuvälineen haltija on antanut suostumuksensa maksutapahtuman toteuttamiseen, toiminut petollisesti taikka laiminlyönyt tahallisesti tai törkeän huolimattomasti 53 ja 54 §:ssä säädettyjä velvollisuuksiaan.”

Maksupalvelulain lisäksi tapauksessa tulevat sovellettaviksi pankin pankkitunnuksilla käytettävien palvelujen yleiset sopimusehdot (Pankkitunnusehdot).

Pankkitunnusehtojen Tunnistautuminen-kohdan mukaan:
”Tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille Verkkopankkipalvelun edellyttämällä tavalla.”

Asian arviointi

Tapahtumienkulku

Asiakkaan asiamies on kertonut asiakkaan puolesta pankille tekemässään reklamaatiossa ja Pankkilautakunnalle tekemässään ratkaisusuosituspyynnössä, että asiakas on saanut verottajan nimissä tulleen sähköpostin, jonka yhteydessä hän on vahvistanut henkilöllisyytensä. Pankki on vastineessaan todennut asiakkaan kertoneen pankin asiakaspalvelulle saaneensa tekstiviestin, jossa väitettiin asiakkaan käyttäjätunnuksen uusitun. Pankki on todennut asiakkaan kertoneen, että hän oli syöttänyt linkin kautta auenneelle sivustolle vanhan käyttäjätunnuksensa ja onnistuneensa kirjautumaan pankkitunnuksillaan jonnekin. Joka tapauksessa asiamies kiistää asiakkaan antaneen pankkitunnuksiaan kenellekään tai hyväksyneensä mitään maksuja.

Pankkilautakunta katsoo, että tapauksessa on siten jäänyt epäselväksi, miten asiakkaan pankkitunnukset ovat päätyneet rikollisten tietoon. Lautakunta pitää kuitenkin todennäköisenä, että rikolliset ovat jollain tavalla asiakkaalta saaduilla pankkitunnuksilla kirjautuneet asiakkaan verkkopankkiin. Pankin lokitietojen mukaan asiakkaan pankkitunnuksilla on kirjauduttu 25.3.2024 verkkopankkiin, minkä yhteydessä on asiakkaan tunnuksiin liitetyssä pankin tunnistussovelluksessa vahvistettu kirjautuminen klo 17:51:54.

Pankin lokitietojen mukaan kyseessä oleva sovellus on otettu käyttöön 11.11.2020. Kyseisellä sovelluksella on esimerkiksi 21.3.2024 vahvistettu verkkopankissa tehtyjä maksuja, joita ei ole reklamoitu pankille.

Lautakunta katsoo, että rikollisten on täytynyt tehdä asiakkaan verkkopankissa riidan kohteena oleva 25.568,16 euron tilisiirto asiakkaan tililtä toisen henkilön tilille. Maksutietoihin on kirjattu asiakkaan nimi maksun saajaksi, vaikka oikea maksunsaaja on ollut toinen henkilö.

Tilisiirto on edellyttänyt vahvaa tunnistamista ja se on vahvistettu samalla tunnistussovelluksella klo 17:56:13. Tilisiirto on vaatinut vielä lisävahvistuksen, joka on jälleen hyväksytty samalla sovelluksella klo 17:56:55.

Pankkilautakunnalla ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä. Verkkopankkiin kirjautuminen, maksu ja sen lisävahvistus on vahvistettu pankin tunnistussovelluksella, joka on otettu käyttöön useita vuosia ennen riidanalaista maksutapahtumaa ja jota on käytetty neljää päivää ennen sitä maksutapahtumiin, joita asiakas ei ole reklamoinut pankille. Lautakunta katsoo siten, että edellä mainitut vahvistukset on tehty asiakkaan käytössä olleella pankin tunnistussovelluksella. Asiassa ei ole esitetty väitettä siitä, että asiakkaan puhelin ja siinä oleva tunnistussovellus olisi päätynyt ulkopuolisen haltuun tapahtuman yhteydessä. Pankkilautakunta katsoo siten, että asiakkaan on täytynyt itse vahvistaa tunnistussovelluksellaan edellä mainitut tapahtumat.

Maksajan suostumus maksutapahtuman toteuttamiseen

Vaikka tilisiirto on tehty epäselväksi jääneellä tavalla asiakkaan verkkopankissa, on maksujen toteuttaminen edellyttänyt asiakkaan puhelimessa olevalla tunnistussovelluksella tehtyä vahvistusta ja lisävahvistusta. Pankkilautakunta katsoo, että ennen vahvistusten antamista asiakkaan on täytynyt nähdä tunnistussovelluksessaan vahvistettavan maksun tiedot, ts. maksun summan, maksajan ja maksunsaajan tilinumeron sekä ilmoituksen siitä, että asiakas on maksamassa. Asiakkaan tapahtumista kertoman perusteella Pankkilautakunnalle on jäänyt epäselväksi, missä tarkoituksessa asiakas on tuossa tilanteessa ymmärtänyt maksun vahvistamista antavansa.

Vaikka asiakas olisi antanut em. vahvistukset tultuaan puhelimessa rikollisten harhaan johtamaksi, tällä ei ole merkitystä asiakkaan ja pankin välisessä suhteessa. Pankkilautakunta katsoo, että antamalla tunnistussovelluksellaan vahvistuksen sovelluksessa näkyneelle ko. maksulle asiakas on sitovasti antanut maksupalvelulain 38 §:ssä ja pankkitunnusehtojen tarkoitetun suostumuksensa maksutapahtuman toteuttamiseen.

Asiakkaan tunnistussovellukseensa saamissa maksunvahvistuspyynnöissä on saajatietona näkynyt asiakkaan nimi, koska rikolliset ovat tekemässään maksutoimeksiannossa syöttäneet maksunsaajaksi asiakkaan nimen mitä ilmeisimmin asiakasta harhauttaakseen.

Pankkilautakunta toteaa tältä osin, että maksupalvelulain 44 §:n mukaan palveluntarjoaja saa toteuttaa maksutapahtuman yksilöivän tunnisteen perus­teella, vaikka maksupalvelun käyttäjä olisi antanut sen lisäksi muitakin tietoja maksutapahtuman toteuttamiseksi. Maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp.) mukaan ”pykälä merkitsee sitä, ettei palveluntarjoajalla ole velvollisuutta tarkistaa, että yksilöivä tunniste vastaa maksajan antamia muita tietoja. Esimerkiksi jos palveluntarjoaja on määrittänyt yksilöiväksi tunnisteeksi maksunsaajan tilinumeron, palveluntarjoajalla ei ole vel­vollisuutta tarkistaa, että kyseinen tilinumero kuuluu maksunsaajalle. Näin on siinäkin tapauksessa, että palveluntarjoaja on itse pyytänyt tietoa maksunsaajan nimestä maksunsaajan tilinumeron lisäksi.”

Pankkilautakunta katsoo siten, ettei sillä, että asiakkaan saamissa vahvistuspyynnöissä on näkynyt saajatiedon koh­dalla hänen oma nimensä, ole asian arvioinnin kannalta merkitystä.

Näin ollen Pankkilautakunta katsoo, ettei kyseessä oleva maksutapahtuma ole maksupalvelulaissa tarkoitetulla tavalla oikeudeton ja ettei käsillä siten ole perusteita pankin vastuulle tilisiirrosta asiakkaalle aiheutuneesta vahingosta.

Lopputulos

Pankkilautakunta ei suosita korvausta.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Heino

Jäsenet:
Atrila
Piilo
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä