Haku

FINE-69519-Z1W5M

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-69519-Z1W5M (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 29.01.2025

Miten vastuu asiakkaan verkkopankissa tehdystä ja asiakkaan puhelimessa olevalla pankin tunnistussovelluksella vahvistetusta tilisiirrosta jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksajan suostumus maksutapahtumalle.

Tapahtumatiedot

A on 11.6.2024 päätynyt rikollisten luomalle kanta.fi-sivustolta näyttäneelle verkkosivulle. A on em. valesivustolla yrittänyt kirjautua OmaKanta-palveluun ja on tässä tarkoituksessa käyttänyt verkkopankkinsa käyttäjätunnusta ja käytössään ollutta pankin tunnistussovellusta, minkä seurauksena ulkopuolinen rikoksentekijä on päässyt kirjautumaan A:n verkkopankkiin. Verkkopankissa on tehty A:n tililtä 86 000 euron tilisiirto ulkomaille. Verkkopankkiin kirjautuminen ja tilisiirto ulkomaille on vahvistettu A:n laitteessa olleella pankin tunnistussovelluksella. Tilisiirto on edellyttänyt lisäksi tunnistussovelluksella annettua lisävahvistusta.

Asiakkaan valitus

A vaatii pankkia korvaamaan 86 000 euroa tai kohtuullisen osan siitä.

A kertoo joutuneena 11.6.2024 OmaKanta-huijauksen kohteeksi, kun hänen tililtään siirrettiin 86 000 euroa espanjalaiselle tilille. A oli välittömästi puhelimitse yhteydessä pankin asiakaspalveluun saatuaan tekstiviestin tilinsä sulkemisesta. Puhelun aikana hänelle kerrottiin, että saattaa olla mahdollista, että maksu saadaan vielä pysäytettyä, mutta myöhemmin vahvistui, ettei maksua saatu pysäytettyä eikä palautettua.

Pankin mukaan se ei ole korvausvastuussa tapahtuneesta, vaikka
1) A ei pysty itse asettamaan tilisiirroilleen maksurajoja tai edes tarkastamaan niitä.  
2) Pankin järjestelmä ei luokitellut huijaustilisiirtoa poikkeavaksi maksuksi siitä huolimatta, että A:n tili käytännössä tyhjennettiin eikä hän ollut aikaisemmin tehnyt minkäänlaisia maksuja tai tilisiirtoja Suomen ulkopuolelle.

A vetoaa myös pankin uutisointiin maksamisen turvarajojen lisäämisestä.  

Pankin vastine

Pankki kiistää vaatimuksen ja katsoo, ettei vastuu tilisiirrosta kuulu maksupalvelulain ja sovellettavien sopimusehtojen mukaan pankin vastattavaksi.

Pankin selvityksen mukaan verkkopankkiin kirjautumisessa ja maksun vahvistamisessa on käytetty A:n verkkopankkitunnuksille aktivoitua pankin tunnistussovellusta, joka on otettu käyttöön 31.10.2021. Verkkopankkiin kirjautumisesta on lähetetty A:n tunnistussovellukseen seuraava vahvistusviesti:

Haluan kirjautua palveluun
[Pankin verkkopalvelu]
Kirjautumistunniste:
WTBJ
Varmista ennen vahvistamista että sama kirjautumistunniste näkyy tunnistautumisnäkymässä

Sisäänkirjautuminen on vahvistettu 11.06.2024 klo 18:41.

A:n tunnistussovellukseen on lähetetty seuraava vahvistusviesti ja lisävahvistusviesti reklamaation kohteena olevan tilisiirron osalta:

Ensimmäinen vahvistusviesti:
[Pankin verkkopalvelu] pyytää vahvistusta
Haluan maksaa
summa: 86 000,00 EUR
saaja: ALEKSI
tilille: ES60 xxxx xxxx xxxx xxxx xxxx
päiväys: 11.6.2024
tililtä: FIxx xxxx xxxx xxxx xx

Tilisiirto on vahvistettu 11.06.2024 klo 18:42.

Lisävahvistusviesti:
[Pankin verkkopalvelu] pyytää vahvistusta
Olet tekemässä maksua joka vaatii lisävahvistuksen.
Tarkasta, että alla olevat tiedot ovat oikein.
summa: 86 000,00 EUR
tilille: ES60 xxxx xxxx xxxx xxxx xxxx
saaja: ALEKSI
tililtä: FIxx xxxx xxxx xxxx xx

Tilisiirto on lisävahvistettu 11.06.2024 klo 18:43.

Pankki vetoaa vastauksessaan maksupalvelulain säännöksiin sekä pankkitunnuksilla käytettävien palveluiden yleisten sopimusehtojen kotiin 3.3, 4.1 sekä 4.2.

Maksupalvelulain 38 §:n mukaan maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla. Pankki katsoo, että riidanalainen maksu jää A:n vastuulle, sillä A on vahvistanut sen tunnistussovelluksellaan. Tunnistussovelluksessa on ennen maksun vahvistamista näkynyt maksunsaaja, summa ja kysymys, haluaako asiakas suorittaa maksun. Lisäksi pankki on maksun vahvistuksen yhteydessä edellyttänyt maksun lisävahvistamista pankin tunnistussovelluksessa.

Kun A on tunnistussovelluksen kautta antanut pankille suostumuksensa tilisiirron tekemiseen, maksu ei pankin näkemyksen mukaan ole oikeudeton maksupalvelulain 38 §:n mukaan.

Mikäli maksu katsottaisiin vastoin pankin näkemystä oikeudettomaksi, olisi A tässäkin tapauksessa vastuussa vahingosta, sillä hän on laiminlyönyt maksupalvelulain 53 §:n mukaisen velvollisuutensa huolehtia maksuvälineistä ja niihin liittyvistä henkilökohtaisista turvatunnuksista. Riidanalainen maksu on vahvistettu A:n käytössä olevassa tunnistussovelluksessa, jolloin riidanalaista maksua koskevat tiedot ovat näkyneet ennen vahvistamista, ja A:n olisi pitänyt kiinnittää huomiota sovelluksessa näkyviin vahvistuspyyntöihin. tunnistussovelluksessa on näkynyt vahvistusviestit, jotka varmistivat, haluaako A tehdä riidanalaisen maksun. Kokonaisarvion perusteella velvoitteen laiminlyönti on katsottava törkeäksi. A:n kuvaama vahinko on syntynyt sen johdosta, ettei A ole tarkistanut pankin tunnistussovelluksessa näkyneitä vahvistusviestejä ennen maksun vahvistamista.

Maksujen turvarajojen osalta pankki toteaa kehittävänsä jatkuvasti turvallisuusratkaisujaan ja on siinä tarkoituksessa ottanut käyttöönsä uudet maksamisen turvarajat. Turvarajat ovat pankin määrittelemiä ja perustuvat pankin järjestelmien tekemiin tarkastuksiin. Turvarajan ylittyessä maksun tekeminen edellyttää asiakkaalta soittoa pankin asiakaspalveluun. Turvarajat eivät kuitenkaan olleet vielä käytössä, kun A teki reklamoimansa tilisiirron.

Rahanpesulaista tulevien velvoitteiden osalta pankki toteaa, etteivät ne vaikuta pankin ja asiakkaan väliseen vastuunjakoon yksittäisessä tilisiirrossa. Pankki kertoo tehneensä maksusta palautuspyynnön, mutta varoja ei saatu palautettua. Pankit eivät saa maksua pysäytettyä, jos maksun vastaanottaja on jo siirtänyt varat omalta tililtään eteenpäin.

Voimassa olevasta lainsäädännöstä johtuu, etteivät huijaustapaukset, joissa asiakas itse hyväksyy maksun, kuulu pankin taloudellisen vastuun piiriin.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

  • A:n ja pankin väliset viestit tilisiirtojen turvarajoista.
  • Kuvakaappaus pankin verkkosivuilta, jossa uutisoitu maksamisen turvarajojen lisäämisestä, uutinen päivätty 30.5.2024.
  • Pankkitunnuksilla käytettävien palveluiden yleiset sopimusehdot (jäljempänä pankkitunnusehdot)

Ratkaisusuositus

Kysymyksenasettelu

Asiassa on kyse siitä, voidaanko A:n katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. tilisiirrolle vai onko maksutapahtumaa pidettävä oikeudettomana. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on asiassa arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että A on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista A:n mahdollinen huolimattomuus on ollut.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 38 §:n (Maksajan suostumus maksutapahtuman toteuttamiseen) 1 momentin mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 62 §:n mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti. […]

Lain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Lain 81 §:n 2 momentin mukaan
Maksu sitoo sivullisia kuitenkin aina, kun maksutapahtuman rahamäärä on maksettu maksunsaajan maksutilille.

Pankkitunnusehtojen Tunnistautumistietojen käyttäminen -kohdan mukaan
Tunnistautumistietoja saa käyttää vain se pankkitunnuksilla käytettäviä palveluja koskevan sopimuksen tehnyt asiakas, jolle pankki on antanut tunnistautumistiedot.
Tunnistautumistietojen käyttöä koskevat ohjeet pankki ilmoittaa pankkitunnusten turvallista käyttöä koskevissa ohjeissaan.

Pankkitunnusehtojen Tunnistautuminen Verkkopankkipalveluun -kohdan mukaan
Verkkopankkipalvelujen käyttämiseksi asiakas tunnistautuu ilmoittamalla pankille Verkkopankkipalveluun kirjautuessaan tunnistautumistietonsa. Asiakkaan kirjauduttua Verkkopankkipalveluun asiakas ei saa antaa avattua palveluyhteyttä muun tahon käytettäväksi.
Tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille Verkkopankkipalvelun edellyttämällä tavalla.

Pankkitunnusehtojen Yleistä tunnistautumistietojen säilyttämisestä ja asiakkaan vastuusta -kohdan mukaan
Kuluttaja-asiakkaan tunnistautumistiedot ovat henkilökohtaiset, eikä niitä saa osittainkaan luovuttaa sivullisen tietoon tai haltuun. Kuluttaja-asiakas ei saa antaa valtuutusta tunnistautumistietojen käyttämiseen.
[…]
Asiakas sitoutuu säilyttämään tunnistautumistiedot huolellisesti ja varmistamaan säännöllisesti, että tunnistautumistiedot ovat tallessa. Asiakkaan tulee huolehtia, etteivät tunnistautumistiedot joudu osittainkaan sivullisen tietoon tai haltuun. Asiakas sitoutuu säilyttämään käyttäjätunnuksesta, tunnistautumislaitteesta, [pankin tunnistussovellus] -sovelluksesta, salasanasta, PIN-koodista tai muista pankin hyväksymistä tunnistautumistavoista koostuvat tunnistautumistiedot erillään toisistaan. Tunnistautumistietoja ei saa kopioida, tallentaa tai toisintaa muutoin kuin pankin järjestelmään tai pankin hyväksymällä tavalla.
Mikäli tunnistautumistiedot ovat kadonneet tai asiakkaalla on syytä epäillä, että ne ovat joutuneet tai saattaneet joutua osittainkin sivullisen tietoon tai haltuun, asiakas on velvollinen välittömästi ilmoittamaan tästä pankille palvelujen asiattoman käytön estämiseksi. […]

Pankkitunnusehtojen Kuluttaja-asiakkaan vastuu tunnistautumistietojen käytöstä Verkkopankkipalvelussa -kohdan mukaan
Mikäli tunnistautumistietoja on käytetty oikeudettomasti Verkkopankki- palvelussa, kuluttaja-asiakas vastaa tunnistautumistietojen oikeudettomasta käytöstä aiheutuneesta vahingosta ja tunnistautumistietojen avulla tehdyistä sitoumuksista, jos:
1) kuluttaja-asiakas on luovuttanut tunnistautumistietoja toiselle tai luovuttanut tunnistautumistiedoillaan avatun palveluyhteyden sivullisen käytettäväksi;
2) tunnistautumistietojen katoaminen, joutuminen oikeudettomasti toisen tietoon tai haltuun tai oikeudeton käyttö johtuu kuluttaja-asiakkaan huolimattomuudesta tai siitä, että kuluttaja-asiakas on laiminlyönyt näiden ehtojen mukaiset velvollisuutensa; tai
3) kuluttaja-asiakas on laiminlyönyt ilmoittaa edellä kerrotulla tavalla pankille tai sulkupalveluun tunnistautumistietojen katoamisesta, joutumisesta oikeudettomasti toisen tietoon tai haltuun tai oikeudettomasta käytöstä ilman aiheetonta viivytystä sen havaittuaan.
Kuluttaja-asiakas vastaa yllä kohdassa 1 tarkoitetussa tapauksessa tunnistautumistietojen oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti ja kohdissa 2 ja 3 tarkoitetuissa tapauksissa enintään 50 euroon saakka. Kuluttaja-asiakas vastaa vahingoista kuitenkin aina täysimääräisesti, jos hän on toiminut tahallisesti tai törkeän huolimattomasti.
[…]

Asian arviointi

Asiakas ei ole kirjallisesti esittänyt kantaansa siitä, miten hän on valesivustolle päätynyt ja mitä hän on maksua vahvistaessaan omalla sovelluksellaan nähnyt. Lautakunnan käsityksen mukaan asiakas kiistää saaneensa maksun vahvistamista koskevia vahvistuspyyntöjä. Asiakas on luullut kirjautuvansa OmaKanta-palveluun ja on tässä tarkoituksessa käyttänyt laitteellaan olevaa pankin tunnistussovellusta.

Pankin asiassa antamien selvitysten mukaan kirjautuminen A:n verkkopankkiin sekä ko. tilisiirto on vahvistettu A:n käytössä olleella pankin tunnistussovelluksella. Selvityksen mukaan tunnistussovelluksessa on ennen maksun vahvistuksen antamista näkynyt ”[Pankin verkkopalvelu] pyytää vahvistusta. Haluan maksaa” sekä maksun tiedot mukaan lukien maksun euromäärä, maksunsaajan tilinumero ja saajan nimi. Tilisiirron toteuttaminen on edellyttänyt tavanomaisen tunnistussovelluksessa annettavan maksun vahvistamisen lisäksi sovelluksessa annettua lisävahvistusta. Lisävahvistuksen kohdalla on selvityksen mukaan ennen lisävahvistuksen antamista todettu em. tietojen lisäksi seuraavasti: ”[Pankin verkkopankki] pyytää vahvistusta Olet tekemässä maksua joka vaatii lisävahvistuksen. Tarkasta, että alla olevat tiedot ovat oikein.”

Pankkilautakunnalla ei ole syytä epäillä pankin esittämän järjestelmätietoihinsa perustuvan selvityksen paikkansa pitävyyttä. Em. perusteella Pankkilautakunta katsoo selvitetyksi, että A on – ilmeisesti epähuomiossaan – vahvistanut riidanalaisen tilisiirron A:n puhelimessa olleella pankin tunnistussovelluksella.

Pankkilautakunta on ratkaisukäytännössään (mm. FINE-070953, FINE-068327) vakiintuneesti katsonut, että tapauksissa, joissa rikoksen uhriksi joutunut asiakas on tullut itse hyväksyneeksi riidanalaiset maksut esimerkiksi omassa puhelimessaan olevalla pankin mobiilisovelluksella ja sovelluksessa on ennen vahvistuksen antamista näkynyt vahvistettavan maksun tiedot, asiakas on antanut maksuille maksupalvelulain 38 §:ssä ja sovellettavissa ehdoissa tarkoitetun suostumuksensa eikä kyseessä olevat maksutapahtumat tällöin ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia. Tämän vuoksi tapauksissa ei ole katsottu olleen myöskään perusteita pankin vastuulle siitä vahingosta, joka maksuista on asiakkaalle aiheutunut.

Pankkilautakunnalla ei ole syytä arvioida nyt käsiteltävää tapausta eri tavalla. Pankkilautakunta katsoo, että A on antanut maksutapahtumalle maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ja pankkitunnusehtojen mukaisen vahvistuksensa tilisiirtoa koskevan maksutoimeksiannon toteuttamiselle. Näin ollen Pankkilautakunta katsoo, ettei kyseessä oleva maksutapahtuma ole maksupalvelulaissa tarkoitetulla tavalla oikeudeton eikä käsillä siten ole siihen liittyvää perustetta pankin korvausvastuulle.

A on valituksessaan lisäksi vedonnut siihen, että pankin olisi pitänyt havaita ja estää poikkeuksellinen maksutapahtuma.

Pankkilautakunta on aiemmassa ratkaisukäytännössään (mm. FINE-052407 ja FINE-059114) arvioinut pankin velvollisuutta valvoa maksutapahtumia ja sen vaikutusta asiakkaan ja pankin väliseen vastuunjakoon. Lautakunta on antamissaan ratkaisuissa todennut, että vaikka pankeilla on maksupalvelusääntelyn perusteella oltava käytössään maksutapahtumien valvontamekanismit, tällä velvollisuudella ei kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta.

Nyt arvioitavana olevan tapauksen osalta lautakunta katsoo, että pankki ei ole velvollinen korvaamaan A:lle aiheutunutta vahinkoa yksinomaan sillä perusteella, ettei pankki ole estänyt tilisiirtoa. Tämän osalta lautakunta viittaa ratkaisussa ilmeneviin ja vastuunjakoon sovellettaviin maksupalvelulain säännöksiin. Lisäksi lautakunta toteaa selvyyden vuoksi, että maksujen lakiin perustuvasta sitovuudesta johtuu, ettei niitä voi peruuttaa enää sen jälkeen, kun pankki on lain ja sopimusehtojen edellyttämällä tavalla välittänyt verkkopankkitunnuksilla tehdyn maksutoimeksiannon eteenpäin ja maksajan palveluntarjoaja on vastaanottanut sen.

Lopputulos

Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Tykkä

Jäsenet:
Atrila
Piilo
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä