Tapahtumatiedot
Asiakas oli toukokuun 2024 lopussa yhteydessä ulkomaiseen toimijaan sijoittaakseen noin 60.000 euroa bitcoineihin. Avatessaan tilin palveluun asiakas tunnistautui pankkitunnuksillaan ja häneen oli puhelimitse sekä viestein yhteydessä englantia puhuva henkilö. Asiakas huomasi 12.7.2024, että hänen tililtään oli tehty 6.000 euron maksutapahtuma Maltalle. Ennen maksua asiakkaan korttiluotolta oli siirretty 2.000 euroa hänen omalle pankkitililleen ja hänen toiselta tililtään oli tehty 4.000 euron sisäinen tilisiirto. Lisäksi asiakkaan nimissä oli otettu useita luottoja, jotka oli siirretty hänen pankkitililtään maltalaiselle tilille.
Asiakkaan valitus
Asiakas vaatii, että pankki palauttaa hänelle 6.000 euroa. Asiakas on joutunut rikoksen uhriksi. Asiakkaan korttiluotolta on tehty 2.000 euron siirto hänen pankkitililleen ja otettu 4.000 euron luotto rahoitusyhtiöltä. Rahat on siirretty asiakkaan tililtä maltalaiselle tilille. Asiakkaan pankkitunnuksilla on otettu useita muitakin luottoja noin 60.000 euron edestä eri rahoitusyhtiöiltä ja ne on siirretty hänen pankkitililtään edelleen ulkomaille. Pankin tulee korvata asiakkaalle täysimääräisesti vahingot, jotka täsmentyvät poliisin saadessa tutkinnan päätökseen.
Poliisi on tutkinut asiakkaan tietokoneen ja puhelimen. Poliisi on löytänyt asiakkaan kanneltavalta tietokoneelta vakoiluohjelman. Asiakkaan pankkitunnukset on ilmeisesti saatu kaapattua sen avulla. Asiakas ei ole itse hyväksynyt siirtoja eikä hän ole saanut vahvistusviestejä. Kasvojentunnistus on mahdollista kiertää PIN-koodia käyttämällä.
Asiakas ei ole huomannut, että hänen tililleen tuli varoja, jotka nopeasti siirrettiin ulkomaille. Hänen puolisonsa maksoi puhelinlaskun 4.7.2024 omassa verkkopankissaan asiakkaan tililtä, eikä hän tuolloin nähnyt tilitapahtumia.
Pankki on toiminut törkeän huolimattomasti asiakkaan varojen valvonnassa. Asiakkaan tilille on siirretty eri rahalaitoksista nostettuja luottoja ja varoja on siirretty ulkomaille noin kuukauden ajan. Asiakkaan sukunimi on kirjoitettu tilisiirroissa yhden kirjaimen osalta väärin. Pankki olisi voinut estää vahingon, jos se olisi valvonut asiakkaan tilin outoa rahaliikennettä.
Pankin vastine
Pankki kiistää asiakkaan vaatimuksen. Asiakkaan tililtä on 8.7.2024 klo 17:52 tehty 6.000 euron tilisiirto ulkomaille. Siirto on vahvistettu pankin tunnistussovelluksella, joka on aktivoitu käyttöön 30.3.2022 iPhone 12mini-puhelimeen. Laite on ollut asiakkaan käytössä jo pitkään ja tunnistussovelluksella on vahvistettu muun ohella puhelin-, vakuutus- ja sähkölaskuja. Mobiilipankki-istuntoon on pankin lokitietojen mukaan kirjauduttu biometrisellä tunnisteella. Ennen maksun vahvistamista tunnistussovelluksessa on näkynyt seuraava vahvistusviesti ja lisävahvistusviesti:
8.7.2024 klo 17:51:45
[Pankin verkkopalvelu] pyytää vahvistusta
Haluan maksaa
summa: 6 000,00 EUR
saaja: X
tilille: MTXX XXXX XXXX XXXX 63
päiväys: 8.7.2024
tililtä: FIXX XXXX XXXX XXXX 86
8.7.2024 klo 17:52:33
[Pankin verkkopalvelu] pyytää vahvistusta
Olet tekemässä maksua, joka edellyttää lisävahvistusta
Jos joku toinen henkilö on pyytänyt sinua tekemään tilisiirron, kyseessä saattaa olla huijaus.
Jos epäilet huijausta, älä vahvista maksua. Ota yhteyttä asiakaspalveluumme, me autamme sinua.
Jos haluat vahvistaa maksun, tarkista, että alla olevat tiedot ovat oikein.
Maksun määrä: 6 000,00 EUR
Saaja: X
tilille: MTXX XXXX XXXX XXXX 63
päiväys: 8.7.2024
tililtä: FIXX XXXX XXXX XXXX 86
Maksu on vahvistettu 8.7.2024 klo 17:51 ja lisävahvistettu 8.7.2024 klo 17:52.
Kysymyksessä ei ole oikeudeton maksu, sillä asiakas on antanut maksuun suostumuksensa vahvistaessaan maksun pankin tunnistussovelluksella.
Asiakkaan tililtä on tehty ennen maksutapahtumaa ulkomaille seuraavat sisäiset siirrot, jotka eivät ole edellyttäneet vahvaa tunnistamista ja suostumusta:
| Aika | Summa EUR | Tililtä | Tilille | Lisätieto |
| 8.7.2024 klo 16:33 | 4.000 | FIXXXXXXXXXXXXXX86 | FIXXXXXXXXXXXXXX78 | Omien tilien välinen siirto |
| 8.7.2024 klo 16:38 | 2.000 | 52XXXXXXXXXXXXXXx | FIXXXXXXXXXXXXXX78 | Siirto luottokortilta |
| 8.7.2024 klo 17:23 | 6.000 | FIXXXXXXXXXXXXXX78 | FIXXXXXXXXXXXXXX86 | Omien tilien välinen siirto |
| 8.7.2024 klo 17:24 | 6.000 | FIXXXXXXXXXXXXXX86 | FIXXXXXXXXXXXXXX78 | Omien tilien välinen siirto |
| 8.7.2024 klo 17:50 | 6.000 | FIXXXXXXXXXXXXXX78 | FIXXXXXXXXXXXXXX86 | Omien tilien välinen siirto |
Asiakkaan kertoman mukaan omien tilien väliset siirrot on tehnyt huijari oikeudettomasti. Asiakas ei kuitenkaan ole menettänyt varoja omien tilien välisten siirtojen johdosta eikä niillä ole välttämätöntä syy-yhteyttä asiakkaalle aiheutuneeseen vahinkoon. Vahinko on aiheutunut asiakkaan suostumuksella tehdystä maksutapahtumasta. Jos maksuvälineenä olisi käteinen, tilanne vertautuu siihen, että henkilö siirtää käteistä rahaa taskustaan toiseen taskuunsa. Varat pysyvät henkilön hallinnassa varojen siirtämisestä huolimatta siihen saakka, kunnes hän antaa käteisvarat pois hallastaan ulkopuoliselle henkilölle. Vahingon syntymisen välttämätön edellytys on ollut se, että kertaalleen omien tilien välillä siirretyt varat on siirretty pois asiakkaan hallussa olevalta tililtä asiakkaan itse tunnistussovelluksellaan antaman suostumuksen perusteella.
Myös asiakkaan kertomaan sijoitushuijaukseen liittyvät tapahtumat on vahvistettu pankin tunnistussovelluksella, joka on edellä todetuin tavoin otettu käyttöön 30.3.2022. Kolmansilta osapuolilta haettujen luottojen osalta asiakas on lisäkirjelmässään yksilöinyt 40.000 euron lainan (nostopäivä 2.7.2024), 4.000 euron lainan (nostopäivä 8.7.2024) ja 15.000 euron lainan (nostopäivä 25.6.2024). Pankin lokitiedoista käy ilmi, että asiakkaan tunnistussovelluksella on 25.6.2024, 1.7.2024 ja 8.7.2024 kirjauduttu Signicat-tunnistautumispalveluun, mikä mahdollisesti liittyy asiakkaan kertomiin luottohakemuksiin. Pankin tunnistussovellukseen kirjautumisista lähetetyistä vahvistusviesteistä ovat tallella 8.7.2024 lähetetyt viestit. Viestit ovat olleet seuraavanlaisia:
Haluan kirjautua palveluun
Signicat Tunnistuksen välityspalvelu
Kirjautumistunniste: XXXX
Varmista ennen vahvistamista että sama kirjautumistunniste näkyy tunnistautumisnäkymässä.
8.7.2024 klo 16:27:30
Haluan kirjautua [Pankin] tunnuksilla kolmannen osapuolen palveluun
Kirjautumistunniste: XXXX
Varmista ennen vahvistamista että sama kirjautumistunniste näkyy tunnistautumisnäkymässä.
8.7.2024 klo 16:32:51
Haluan kirjautua palveluun Signicat Tunnistuksen välityspalvelu
Kirjautumistunniste: XXXX
Varmista ennen vahvistamista että sama kirjautumistunniste näkyy tunnistautumisnäkymässä.
Kirjautumiset on vahvistettu 8.7.2024 klo 16:25-16:32. Päivinä 1.7. ja 25.6.2024 käytössä olleet vahvistusviestit ovat olleet samansisältöisiä. Asiakas vastaa toimista, jotka on tehty pankin verkkopankkitunnuksia käyttäen kolmannen osapuolen palvelussa. Asiakkaan tunnuksilla on ollut mahdollista nostaa luottoja sen takia, ettei hän ole riittävällä tavalla kiinnittänyt huomioita tunnistussovelluksessa näkyneisiin kirjautumisviesteihin tai hän on luovuttanut tunnukset kolmannelle. Lisäksi jos asiakkaan tilille on saapunut hänelle kuulumattomia suorituksia hänen olisi pitänyt reagoida niihin. Asiakas on esimerkiksi 4.7.2024 maksanut maksun teleyhtiölle mobiilipankissa, johon on kirjauduttu biometrisesti.
Selvitykset
- Tutkintailmoitus poliisille 15.7.2024
- Pankin pankkitunnuksilla käytettävien palvelujen yleiset sopimusehdot (6/24)
- Pankin euromaksualueella välitettävien euromaksujen yleiset ehdot (6/24)
- Havaintoja tietokoneen ja puhelimen sisällöstä rikosilmoitukseen
Ratkaisusuositus
Kysymyksenasettelu
Pankkilautakunnan arvioitavana on, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtumalle vai onko maksutapahtumaa pidettävä oikeudettomana. Lautakunnan arvioitavana on myös, vaikuttaako asiakkaan ja pankin välisen vastuunjakoon se, että pankki ei ole edellyttänyt vahvaa tunnistamista verkkopankin sisäisen tilisiirron ja luottokortilta tehdyn siirron yhteydessä.
Lautakunnan arvioitavana on vielä, onko tunnistusvälinettä käytetty oikeudettomasti luottositoumusten tekemiseen ja olisiko pankin tullut puuttua tavanomaisesta poikkeavaan maksuliikenteeseen asiakkaan tileillä.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 38 §:n 1 momentin mukaan maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.
Lain 44 §:n mukaan palveluntarjoaja saa toteuttaa maksutapahtuman yksilöivän tunnisteen perusteella, vaikka maksupalvelun käyttäjä olisi antanut sen lisäksi muitakin tietoja maksutapahtuman toteuttamiseksi.
Maksupalvelulain 62 §:n mukaan maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Lain 72 §:n mukaan jos maksupalvelun käyttäjä kiistää antaneensa suostumuksensa maksutapahtuman toteuttamiseen, hänen palveluntarjoajansa on osoitettava, että suostumus on annettu sovitulla tavalla. Jos maksupalvelun käyttäjä väittää, että maksutapahtumaa ei ole toteutettu asianmukaisesti, palveluntarjoajan on osoitettava, että maksutapahtuma on kirjattu ja merkitty tileille oikein ja ettei maksutapahtuman käsittelyyn ole vaikuttanut tekninen vika tai muu häiriö.
Jos maksutapahtuma on käynnistetty maksutoimeksiantopalvelun tarjoajan välityksellä, tällä on todistustaakka 1 momentissa tarkoitetuista seikoista oman suorituksensa osalta ja siitä, että maksajan maksutiliä pitävä palveluntarjoaja on vastaanottanut maksutoimeksiannon.
Se seikka, että palveluntarjoaja voi näyttää, että suostumus maksutapahtuman toteuttamiseen on annettu maksuvälineellä, ei välttämättä yksin riitä osoittamaan, että maksuvälineen haltija on antanut suostumuksensa maksutapahtuman toteuttamiseen, toiminut petollisesti taikka laiminlyönyt tahallisesti tai törkeän huolimattomasti 53 ja 54 §:ssä säädettyjä velvollisuuksiaan.
Maksupalvelulain 85 c §:n 1 momentin mukaan palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1) käyttää maksutiliään tietoverkon välityksellä;
2) käynnistää sähköisen maksutapahtuman;
3) toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
Säännöksen 5 momentin mukaan tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.
Komission delegoidun asetuksen (EU) 2018/389 (PSD2 RTS), joka koskee maksupalveludirektiivin (PSD2) teknisiä sääntelystandardeja, 15 artiklan (Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot) mukaan edellä 2 artiklassa säädettyjen vaatimusten täyttyessä on sallittava, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.
Maksupalvelulain lain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Pankin pankkitunnuksilla käytettävien palvelujen yleisten sopimusehtojen kohta 4.2, joka koskee asiakkaan vastuuta pankkitunnusten oikeudettomasta käytöstä maksuvälineenä pankin verkkopalvelussa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankin euromaksualueella välitettävien euromaksujen yleisten ehtojen kohdan 3 (Maksutoimeksiannon antaminen) mukaan tilisiirto ja SEPA pikasiirto välitetään maksunsaajalle yksinomaan IBANin perusteella, vaikka maksaja olisi antanut lisäksi muita tietoja maksutapahtuman toteuttamiseksi.
Asian arviointi
Suostumus maksutapahtuman toteuttamiseksi
Asiassa esitetyn selvityksen mukaan asiakas on ollut yhteydessä ulkomaiseen palveluntarjoajaan sijoittaakseen noin 60.000 euroa bitcoineja. Poliisin ICT-tutkijan mukaan asiakkaan tietokoneelle on asennettu AnyDesk -etäkäyttösovellus 22.5.2024 samaan aikaan, kun hän on ollut puhelinyhteydessä ulkomaiseen palveluntarjoajaan. Tietokoneelta ei ole löydetty haittaohjelmaa. Tutkinnan mukaan asiakkaan puhelimella ei ole ollut AnyDesk -etäkäyttösovellusta.
Asiakkaan pankkitililtä on 8.7.2024 tehty 6.000 euron tilisiirto maltalaiselle tilille. Pankin selvityksen mukaan siirto on vahvistettu ja lisävahvistettu asiakkaan verkkopankkitunnuksilla käytössä olleesta tunnistussovelluksesta, joka on aktivoitu käyttöön 30.3.2022 iPhone 12 mini -puhelimeen. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän lokitietoihin perustuvan selvityksen paikkansa pitävyyttä. Lautakunnalle ei ole esitetty poliisitutkinnastakaan sellaisia tietoja, että asiakkaan puhelimessa olisi ollut etäkäyttösovellus tai että tietokoneen etäkäyttöohjelma olisi voinut vaikuttaa asiakkaan puhelimessa olleeseen tunnistussovellukseen tai sen toimintaan. Selvityksen mukaan uutta tunnistussovellusta ei ole otettu käyttöön tapahtuma-aikana. Lautakunta katsoo, että asiakkaan on täytynyt vahvistaa maksutapahtuma puhelimensa tunnistussovelluksella. Tunnistussovelluksessa on ennen maksun vahvistusta näkynyt asianmukaisesti, että kysymys on maksusta, jolle pyydetään vahvistusta ja lisäksi on näytetty maksun summa sekä saajan tilinumero.
Maksun saajana on näkynyt asiakas, mutta hänen nimessään on ollut kirjoitusvirhe. Maksupalvelulain 44 §:n mukaan palveluntarjoaja saa toteuttaa maksutapahtuman yksilöivän tunnisteen perusteella, vaikka maksupalvelun käyttäjä olisi antanut sen lisäksi muitakin tietoja maksutapahtuman toteuttamiseksi. Myös pankin euromaksualueella välitettävien euromaksujen yleisten ehtojen mukaan tilisiirto välitetään maksunsaajalle yksinomaan IBANin perusteella, vaikka maksaja olisi antanut lisäksi muita tietoja maksutapahtuman toteuttamiseksi. Tapahtuma-aikana pankin ei ole edellytetty tarkistavan, vastaavatko maksajan antamat tiedot saajan pankissa maksunsaajan nimeä ja tilinumeroa.
Tilisiirto on välitetty ehtojen mukaisesti maksutoimeksiannossa ilmoitetun maksunsaajan IBAN-tilinumeron perusteella, jonka pankki on myös edellä todetusti asiakkaan tunnistussovelluksen vahvistuspyynnöissä ennen vahvistusten antamista asiakkaalle näyttänyt. Pankilla ei ole ollut velvollisuutta tarkistaa, että tilinumero vastaa maksutoimeksiannossa ilmoitettua maksunsaajatietoa. Siten sillä, että asiakkaan saamissa vahvistuspyynnöissä on näkynyt saajatiedon kohdalla hänen oma nimensä virheellisesti kirjoitettuna, ei ole asian arvioinnin kannalta merkitystä.
Pankkilautakunnan ratkaisukäytännössä on vakiintuneesti katsottu, että tapauksissa, joissa rikoksen uhri on huijattuna tullut itse hyväksyneeksi riidanalaiset maksut esimerkiksi omassa puhelimessaan olevalla pankin mobiilisovelluksella ja sovelluksessa on ennen vahvistuksen antamista näkynyt vahvistettavan maksun tiedot, asiakas on antanut maksuille maksupalvelulain 38 §:ssä ja sovellettavissa ehdoissa tarkoitetun suostumuksensa eikä kyseessä olevat maksutapahtumat tällöin ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia. Tämän vuoksi mainitun kaltaisissa tapauksissa ei ole katsottu olleen perusteita pankin vastuulle siitä vahingosta, joka maksuista on asiakkaalle aiheutunut.
Nyt käsiteltävässä asiassa asiakas on antanut vahvistuksen ja lisävahvistuksen tilisiirrolle. Sillä, että asiakas on tullut rikollisten harhaan johtamaksi, ei ole merkitystä asiakkaan ja pankin välisen vastuun arvioinnissa. Näin ollen kysymyksessä oleva maksutapahtuma ei ole maksupalvelulaissa tarkoitetulla tavalla oikeudeton eikä pankki ole vastuussa asiakkaalle aiheutuneesta vahingosta.
Verkkopankin sisällä tehtyjen oikeudettomien maksujen tekeminen ilman vahvaa tunnistamista
Asiassa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista siinä yhteydessä, kun asiakkaan korttiluotolta on siirretty 2.000 euroa asiakkaan tilille, josta se on vielä siirretty asiakkaan toiselle tilille ja sieltä ulkomaiselle tilille.
Kyseiseltä numeroihin 86 päättyneeltä tililtä, josta siirto on tehty ulkomaiselle tilille, on siirretty myös 4.000 euroa asiakkaan toiselle numeroihin 78 päättyvälle tilille, sen jälkeen yhteensä 6.000 euroa sisältäen edellä mainittu korttiluotolta siirretty 2.000 euron määrä on palautettu ensin mainitulle tilille, sama määrä on siirretty vielä takaisin toiselle tilille ja palautettu ensin mainitulle tilille, josta se on siirretty edelleen ulkomaiselle tilille.
Pankkilautakunta toteaa maksupalveluja ja vahvaa tunnistamista koskevan sääntelyn sallivan palveluntarjoajien tietyissä poikkeustilanteissa poikkeavan vahvan tunnistamisen vaatimuksesta. Lautakunta on ratkaisukäytännössään (esim. FINE-72846-F7T8S9) katsonut, että vaikka sääntely sallii sen, että pankin ei ole pakko edellyttää vahvaa tunnistamista omien tilien välisessä tilisiirrossa, mutta näin toimiessaan ottaa pankki vastuulleen riskin maksuvälineen oikeudettomasta käytöstä.
Tässä tapauksessa verkkopankin sisällä tehdyt, yhteensä 6.000 euron tilisiirrot, ovat rikollisten oikeudettomasti tekemiä. Pankkilautakunta toteaa, että asiassa tältä osin aiheutunut 6.000 euron vahinko on realisoitunut, kun asiakas on edellä esitetyn tavoin antanut maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa 6.000 euron maksutapahtuman toteuttamiselle, minkä johdosta asiakas lähtökohtaisesti vastaa maksusta aiheutuneesta vahingosta.
Pankkilautakunta on ratkaisukäytännössään (esim. FINE-081446) katsonut pankin vastaavan vahingosta siltä osin kuin vahingon määrään on vaikuttanut ennen ulkopuoliselle menneitä maksuja tehdyt verkkopankin sisäiset siirrot ja se, että pankki on sallinut kyseisten oikeudettomien siirtojen tekemisen ilman maksajan vahvaa tunnistamista.
Pankkilautakunta katsoo, että asiassa aiheutuneen vahingon määrään on vaikuttanut ennen ulkomaille tapahtunutta maksua tehty verkkopankin sisäinen siirto korttiluotolta asiakkaan tilille ja se, että pankki on sallinut kyseisen oikeudettoman siirron tekemisen ilman vahvaa tunnistamista. Kyseisellä oikeudettomalla tilisiirrolla, joka vahvan tunnistamisen puutteen vuoksi kuuluu asiakkaan ja pankin välisessä suhteessa pankin vastuulle, on siirretty korttiluotolta 2.000 euroa asiakkaan tilille. Sen sijaan 4.000 euroa on jo ollut sillä asiakkaan tilillä, josta se on siirretty ulkomaille, ennen edestakaisia omien tilien välisiä siirtoja. Tältä osin sisäinen siirto ei ole lisännyt vahingon määrää. Sen sijaan sisäinen siirto on lisännyt vahingon määrää korttiluoton osalta 2.000 eurolla, minkä Pankkilautakunta katsoo kuuluvan pankin vastuulle.
Tunnistusvälineen käyttö luottojen ottamiseen
Asiakas on kirjelmissään ilmoittanut, että hänen tunnuksillaan on otettu oikeudettomasti luottoja kolmansilta osapuolilta: 15.000 euroa 25.6.2024, 40.000 euroa 2.7.2024 ja 4.000 euroa 8.7.2024.
Pankin lokitiedoista ilmenee, että asiakkaan puhelimelle 30.3.2022 käyttöön aktivoidulla tunnistussovelluksella on 25.6.2024, 1.7.2024 ja 8.7.2024 kirjauduttu Signicat-tunnistautumispalveluun. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän lokitietoihin perustuvan selvityksen paikkansa pitävyyttä.
Asiakkaan tunnistussovelluksella on kirjauduttu mainittuun palveluun luottojen ottamisajankohtana. Lautakunta on edellä todennut, ettei sille ole esitetty poliisitutkinnastakaan sellaisia tietoja, että asiakkaan puhelimessa olisi ollut etäkäyttösovellus tai että tietokoneen etäkäyttöohjelma olisi voinut vaikuttaa asiakkaan puhelimessa olleeseen tunnistussovellukseen tai sen toimintaan. Asiakkaan on siten katsottava kirjautuneen tunnistautumispalveluun tunnistussovelluksellaan. Kysymys ei siten ole tunnistusvälineen oikeudettomasta käytöstä eikä pankki ole tältä osin vastuussa asiakkaalle aiheutuneesta vahingosta.
Pankin velvollisuus estää maksutapahtumia
Asiakas on vedonnut vielä siihen, että pankin olisi tullut havaita poikkeuksellinen maksuliikenne hänen tilillään. Lautakunta toteaa, että maksupalvelusääntelyn perusteella pankeilla on oltava käytössään maksutapahtumien valvontamekanismit, joiden avulla ne voivat havaita oikeudettomat ja petolliset maksutapahtumat. Tällä velvollisuudella ei kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta. Näin ollen pankki ei siten ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa sillä perusteella, että pankki ei ole estänyt oikeudettomia tilisiirtoja.
Lopputulos
Pankkilautakunta katsoo asiakkaan antaneen 6.000 euron tilisiirrolle maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ja asiakas vastaa siten maksutapahtumasta aiheutuneesta vahingosta pankin ja asiakkaan välisessä suhteessa lukuun ottamatta ilman vahvaa tunnistamista tehtyä pankin vastuulle jäävää 2.000 euron siirtoa, jonka pankki on sallinut ilman vahvaa tunnistamista. Kyseinen siirto on oikeudeton ja pankki vastaa sen osalta aiheutuneesta vahingosta.
Pankkilautakunta suosittaa pankkia hyvittämään 2.000 euroa asiakkaan tilille, jolta oikeudeton tilisiirto on tehty ilman vahvaa tunnistamista.
Ratkaisusuositus syntyi äänin 4–1. Ratkaisusuosituksen antamiseen osallistuivat puheenjohtaja Sillanpää sekä jäsenet Atrila, Punakivi ja Tervonen. Jäsen Piilon eriävä mielipide on liitteenä.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Heikinsalmi
Jäsenet:
Atrila
Piilo
Punakivi
Tervonen
Jäsen Piilon eriävä mielipide:
Olen eri mieltä Pankkilautakunnan enemmistön ratkaisusuosituksen perusteluista ja lopputuloksesta.
Asian kannalta merkitykselliset lainsäännökset ovat maksupalvelulain 38 § (Maksajan suostumus maksutapahtuman toteuttamiseen), maksupalvelulain 85 c §:n 1 ja 5 momentti (Tunnistaminen), komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artikla (Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot), maksupalvelulain 62 §:n 3 momentin 4 kohta (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) sekä maksupalvelulain 63 §:n 1 momentti (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta).
Tapauksessa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista rikollisen tekemän asiakkaan siirtoon asiakkaan korttiluotolta. Kysymyksessä on ollut ns. sisäinen siirto eli korttiluotto sekä tili, jolla siirto tehtiin ovat olleet asiakkaan omistuksessa. Korttiluotolta tehdyn siirron jälkeen varat ovat edelleen olleet asiakkaan omalla tilillä ja hän on voinut määrätä varoista. Varsinainen vahinko asiakkaalle on tapahtunut, kun varat on siirretty ulkopuolisen omistamalle tilille. Nyt puheena olevassa tapauksessa asiakas on antanut maksupalveluin 38 §:n mukaisen suostumuksen tilisiirrolle, jolla varat siirrettiin pois hänen hallinnastaan ulkopuoliselle. Mikäli asiakas ei olisi antanut suostumustaan ulkopuoliselle tehtyyn tilisiirtoon, ei vahinkoa olisi tapahtunut. Syy-yhteyttä korttiluotolta tehdyllä siirrolla ei ole varsinaiseen oikeudettoman käytön määrään. Ainoa lisävahinko, joka asiakkaalle tästä syntynyt on ollut luoton siirrosta aiheutunut kulu.
Asiakkaalle aiheutunut vahinko oikeudettomasta käytöstä ei ole seurausta omien tilien välisestä oikeudettomasta siirrosta, vaan asiakaan omalla maksupalvelulain 38 §:n mukaisella suostumuksella tehdystä tilisiirrosta, joka ei maksupalvelulain mukaan ole maksuvälineen oikeudetonta käyttöä.
Lopputulos
Katson, että vahinko on aiheutunut maksupalvelulain 38 §:n mukaisella asiakkaan suostumuksella tehdyn maksutapahtuman seurauksena, joita ei ole pidettävä maksupalvelulain mukaan oikeudettomina. Asiakkaan korttiluotolta ilman vahvaa tunnistamista tehty oikeudeton siirto ei ole syy-yhteydessä asiakkaan myöhemmin vahvistamalla siirrolla hänelle aiheutuneeseen vahinkoon.
Edellä todetuin perustein katson, että pankki ei vastaa kyseisistä siirroista ja asiassa aiheutuneesta vahingosta, eikä Pankkilautakunnan tulisi suosittaa pankkia hyvittämään 2.000 euroa tilille, joilta oikeudeton tilisiirto ilman vahvaa tunnistamista tehtiin. Pankki tulisi kuitenkin velvoittaa korvaamaan asiakkaalle luoton nostamisesta aiheutunut kulu 62 euroa, koska tältä osin ilman vahvaa tunnistamista aiheutettiin asiakkaalle lisäkulu.