Haku

FINE-68969-S2C0C

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-68969-S2C0C (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 25.04.2025

Miten vastuu asiakkaan ja pankin välillä jakautuu asiakkaan puhelimeen asennettua haittaohjelmaa käyttäen pankin mobiilisovelluksella vahvistetusta oikeudettomasta maksutapahtumasta? Pankkitunnusten oikeudeton käyttö. Pankkitunnusten haltijan huolimattomuus.

Tapahtumatiedot

Asiakas on saanut 14.5.2025 klo 15.27 rikollisten kodinkoneliikkeen X nimissä lähettämän tekstiviestin:
”Hei [asiakkaan etunimi]. Meiltä puuttuu laskun FIxxxxxxx maksu. Soita meille. 09 xxxx xxxx (8.00-21.00)”
Tekstiviestin lähettäjätietona asiakkaan puhelimessa on näkynyt X Oy. Asiakas on soittanut viestissä olleeseen numeroon, josta on hyvityksenä sekaannuksesta tarjottu vuodeksi ilmainen tietoturva asiakkaan puhelimeen. Todellisuudessa asiakkaan puhelimeen on asennettu haittaohjelma.

Rikolliset ovat haittaohjelman avulla voineet käyttää asiakkaan puhelimessa olleita sovelluksia. Pankin B mobiilisovellusta käyttäen asiakkaan tiliä pankissa B on käytetty oikeudetta, mutta pankki B sai varat palautettua.

Puhelimessa ollutta pankin A mobiilisovellusta käyttäen rikolliset ovat tehneet 19.5.2024 klo 23:29:50 asiakkaan luottokortilta pankissa A 3.700 euron suuruisen siirron ulkopuolisen tilille toisessa pankissa. Poliisin toiminnan seurauksena asiakas sai em. varoista takaisin 1.683,68 euroa lopullisen vahingon jäädessä 2.016,32 euroon.

Asiakkaan valitus

Asiakas vaatii pankkia A korvaamaan takaisin saamatta jääneen summan 2.016,32 euroa.

Kaikki alkoi siitä, kun asiakas sai viestin X Oy:ltä ja yhteydenottopyynnön maksamattoman laskun takia. Asiakkaalle jäi sellainen käsitys, että kyse ei ole yrityksen puhelinnumerosta vaan he ovat ulkoistaneet laskujen perinnän jollekin toiselle yritykselle. Siksi hän ei lähtenyt tarkistamaan puhelinnumeroa.  Mitään maksamatonta laskua ei kuitenkaan ollut ja asiakkaalle tarjottiin hyvää ja ajan tasalla olevaa tietoturvaa korvaukseksi tästä sähläyksestä veloituksetta vuoden ajaksi. Puhelun osalta asiakas toimi saamiensa ohjeiden mukaisesti, jotta olisi saanut tuon virustorjuntaohjelman puhelimeensa. Todellisuudessa rikolliset asensivat jonkin viruksen asiakkaan puhelimeen. Asiakas ei voinut mitenkään ymmärtää, että mitään virustorjuntaa ei tullutkaan, vaan hänen puhelimeensa asennettiin salaa joku haittaohjelma. Kun rikos paljastui, asiakas poisti välittömästi tuon ns. tietoturvan ja puhelimeen palautettiin tehdasasetukset. Samalla asiakas otti takaisin Elisan tietoturvan, joka hänellä oli ollut aikaisemminkin.

Rikolliset tyhjensivät asiakkaan pankin B tilin ja veivät myös pankin A tililtä 3.700 euroa. Pankki B pystyi estämään varojen käytön ja niiden summien siirrot, jotka oli siirretty asiakkaan tilille toisilta uhreilta. Pari päivää tämän tapahtuman jälkeen asiakas huomasi myös, että hänen luottotilinsä pankki A:ssa oli tyhjennetty. Poliisin toiminnan ansioista asiakas sai takaisin 1.683,68 euroa, mutta edelleen puuttuu 2.016,32 euroa.

Asiakas oli ilman muuta siinä uskossa, että pankin B tilit olivat ainoat, joihin rikollisilla oli mahdollisuus päästä, sillä he pyysivät vielä tarkistamaan, ettei asiakkaan tililtä ollut mennyt mitään maksua, koska tietoturvan piti olla ilmainen. Nyt pankki A väittää, että asiakas on toiminut törkeän huolimattomasti, eikä halua korvata puuttuvaa summaa eikä tunnustaa, että heidän pankkitoimintojen suojauksessa on ollut mitään vikaa.

Asiakas ihmettelee sitä, että pankki B pystyi torjumaan rikolliset toimenpiteet ja palauttamaan kaikki tililtä hävinneet rahat, mutta pankilta A tämä ei onnistuisi. Asiakas ymmärtää, että pankki on luonnollisesti sitä mieltä, että heillä ei ole mitään vastuuta tässä asiassa ja heidän järjestelmissään ei ole mitään puutteita.  Asiakas on kuitenkin sitä mieltä, että ei ole tahallisesti toiminut törkeän huolimattomasti, vaan on joutunut petoksen uhriksi.

Pankin vastine

Asiakas kertoo vastaanottaneensa 14.5.2024 klo 15:27 tekstiviestin yritykseltä X Oy, jossa on ilmoitettu, että asiakkaalla on maksamaton lasku, ja pyydetty ottamaan yhteyttä tekstiviestissä ilmoitettuun puhelinnumeroon. Asiakas kertoo soittaneensa numeroon ilman, että on tarkistanut, kuuluuko puhelinnumero oikeasti yritykselle X Oy.

Puhelinnumerosta on tarjottu asiakkaalle hyvityksenä virheellisesti lähteneestä tekstiviestistä vuoden ilmaista tietoturvaa. Asiakas kertoo palanneensa asiaan samaiseen numeroon seuraavana päivänä 15.5.2024, ja tätä ennen irtisanoneensa Elisan kautta tilanneensa tietoturvan tarpeettomana, koska numerossa vastannut henkilö oli näin ohjeistanut.

Asiakas kertoo pankille, että puhelun aikana tämä tietoturvaohjelmisto asennettiin asiakkaan puhelimeen henkilön toimesta, jonka kanssa asiakas puhui puhelimessa. Pankki ei ole saanut tarkempaa selvitystä siitä, kuinka tämä on onnistunut, mutta jotta jokin taho pystyy etänä asentamaan asiakkaan laitteelle sovelluksia/ohjelmia, on asiakkaan tullut antaa mahdollisuus käyttää laitettaan etähallintaohjelman, esimerkiksi AnyDesk kautta.

Asiakas kertoo rikosilmoituksella, että ei ole antanut pankkitunnuksiaan puhelun aikana kenellekään, mutta häntä on pyydetty puhelun jo loputtua kirjautumaan verkkopankkiinsa ja tarkistamaan, että mitään maksua ei ole lähtenyt. Pankki epäilee, että asiakkaan pankkitunnukset on tässä yhteydessä urkittu ja niitä on pystytty tämän jälkeen väärin käyttämään.

Asiakas oli jälkikäteen huomannut, että pankin luottokortilta oli 19.5.2024, neljä päivää viimeisen puhelun jälkeen, tehty 3.700 euron suuruinen tilisiirto jollekin tuntemattomalle pankin C tilille, ja reklamoi sen pankille 18.6.2024. Pankki näkee, että 3.700 euron suuruinen tilisiirto on tehty 19.5.2024 klo 23:29:50 Suomen aikaa asiakkaan omasta puhelinlaitteesta, joka on 17.12.2022 asiakkaan toimesta rekisteröity pankille, ja johon pankin sovellus on ollut jo valmiiksi asennettuna.

Rikosilmoituksella asiakas kertoo, että poliisin mukaan puhelimeen olisi asennettu mahdollisesti jokin virus. Ilmeisesti rikoksen tekijät ovat päässeet käyttämään etäyhteyden kautta laitetta vielä asennuksen päätyttyäkin, mikäli asiakkaan kertoma siitä, että tekstiviestin vastaanottamisesta seuraavana päivänä hän soitti numeroon uudelleen ja sovellus asennettiin pitää paikkaansa.

Pankin sovellukseen kirjautuessaan ensimmäistä kertaa, asiakkaan täytyy tunnistautua pankkitunnuksilla, sekä valita kirjautumistavaksi jatkoa varten joko kasvojentunnistus tai puhelimen näytön lukitsemiseen tarvittava henkilökohtainen koodi. Mikäli laitetta on hallittu etänä, on asiakkaan näyttökoodin täytynyt myös päätyä rikollisten tietoon pankkitunnusten lisäksi.

Pankki on hylännyt asiakkaan reklamaation perustuen siihen, että siirto on tehty asiakkaan omalta laitteelta, ja katsonut asiakkaan toimineen törkeän huolimattomasti antaessaan tuntemattoman tahon asentaa laitteelleen virusturvana esitetyn ohjelmiston, joka on jälkikäteen paljastunut joksikin muuksi. Asiakas on myös jo maksanut reklamoidun saatavan pankille.

Asiakas on myös kehotuksesta poistanut edellisen tietoturvaohjelmistonsa, jonka on hankkinut Elisan kautta. Tämä on luultavasti pyydetty tekemään siksi, että viruksentorjuntaohjelma olisi saattanut estää etäyhteyden mahdollistamisen.

Pankki ymmärtää, että asiakas on tullut harhaanjohdetuksi, mutta katsoo myös, että asiakas olisi voinut kohtuullisin toimenpitein varmistua siitä, kuuluuko viestissä ilmoitettu puhelinnumero todellisuudessa X Oy:lle, esimerkiksi etsimällä hakukoneen kautta yhteystiedot yritykselle. Myös soitto X Oy:n verkkosivuilta löytyvään, oikeaan asiakaspalvelunumeroon olisi paljastanut tekstiviestin huijaukseksi. Antaessaan luvan hallita laitettaan etäyhteyden kautta, asiakas käytännössä antaa valtuudet käyttää laitetta samoilla valtuuksilla, kuin hänellä on itsellään.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:  
- Tutkintailmoitus (ilmoitusaika 20.5.2025)
- Kuva asiakkaan konikoneliike X:n nimissä 14.5.2025 klo 15.27 saamasta tekstiviestistä
- Kuitti - Laskun maksu
- Otteita pankin lokitiedoista

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin A välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ratkaistava, voidaanko asiakkaan puhelimessa olleen pankin mobiilisovelluksen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaiset velvollisuutensa ja onko asiakkaan mahdollinen huolimattomuus törkeää.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Asian arviointi

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että rikolliset ovat asiakkaan puhelimeen ladatun haittaohjelman avulla tehneet riidanalaisen maksutapahtuman asiakkaan puhelimessa ollutta pankin mobiilisovellusta oikeudetta käyttäen.

Pankki A katsoo, että asiakas olisi voinut kohtuullisin toimenpitein varmistua siitä, kuuluuko viestissä ilmoitettu puhelinnumero todellisuudessa X Oy:lle, ja asiakkaan toimineen törkeän huolimattomasti antaessaan tuntemattoman tahon asentaa laitteelleen virusturvana esitetyn ohjelmiston, joka on jälkikäteen paljastunut joksikin muuksi.

Pankkilautakunta toteaa, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin lähettävät asiakkailleen sekä yleistä markkinointia että henkilökohtaista asiointia koskevia tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä.

Tässä tapauksessa asiakkaan saaman tekstiviestin osalta lautakunta kiinnittää huomiota viestin sisältöön kokonaisuudessaan sekä siihen, että tekstiviestin lähettäjätietona on hänen puhelimessaan näkynyt tunnetun kodinkoneliikkeen nimi ja viesti on kohdennettu asiakkaalle hänen etunimellään, mitä voidaan pitää tavanomaisena vähittäiskaupan asiakasviestintänä kuluttajien suuntaan. Edelleen lautakunta kiinnittää huomiota siihen, että tekstiviestissä ilmoitettu X Oy:n puhelinnumero on ollut tavanomainen Helsingin suuntanumerolla alkanut puhelinnumero.

Edellä todettuun viitaten Pankkilautakunta katsoo, ettei asiakkaalla voida katsoa olleen syytä epäillä saamansa tekstiviestin olleen aito X Oy:n lähettämä viesti ja ettei asiakkaan voida katsoa menetelleen huolimattomasti hänen soitettuaan viestissä olevaan numeroon tarkistamatta erikseen numeron olevan oikea.

Tapauksessa saadun selvityksen perusteella on jäänyt osin epäselväksi, miten asiakkaan puhelimeen on saatu asennettua haittaohjelma. Pankkilautakunta katsoo, että tämän on kuitenkin täytynyt edellyttää asiakkaalta jonkinlaisia aktiivisia toimia puhelimellaan ja asiakas onkin kertonut toimineensa puhelimessa saamiensa ohjeiden mukaisesti, jotta olisi saanut virustorjuntaohjelman puhelimeensa.

Pankkilautakunta katsoo, että ladattaessa tai hyväksyttäessä uusien sovellusten/ohjelmien lataamista ulkopuolisen pyynnöstä, ehdotuksesta tai tarjouksesta omalle laitteelle ja erityisesti sellaiselle, jolla on ladattuna ja käytössä pankkien mobiilisovelluksia ja tunnistussovelluksia, tulisi huolellisen toimijan kiinnittää erityistä huomiota siihen, mitä hyväksyy ja ladataanko sovelluksia esimerkiksi virallisista sovelluskaupoista. Vaikka asiassa on asiakkaan kertoman perusteella jäänyt epäselväksi, miten haittaohjelma on asiakkaan puhelimeen tarkkaan ottaen ladattu, katsoo lautakunta asiakkaan tässä yhteydessä menetelleen huolimattomasti puhelimessaan olleiden ja maksuvälineinä käytettävien pankkisovellusten käyttäjänä.

Ottaen kuitenkin huomioon, että asiakas on tehnyt vaaditut toimet tultuaan rikollisten taidokkaasti harhaanjohtamaksi ja luulleessaan perustellusti sallivansa X Oy:n tarjoaman virustorjuntaohjelman asentamisen puhelimelleen sekä myös sen, ettei asiakas ole koko tapahtuneen asioinnin yhteydessä käyttänyt pankin A sovellusta tai pankin A palveluihin liittyviä tunnuksia, Pankkilautakunta katsoo, ettei asiakkaan voida katsoa suhtautuvan selvästi piittaamattomasti pankin A mobiilisovelluksensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin taikka asiakkaan menettelyn poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki A ottaa vastatakseen pankin mobiilisovelluksen oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Atrila
Piilo
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä