Uppgifter om händelseförloppet
Kunden försökte 8.4.2024 logga in i en myndighets nättjänst, men hamnade på en bluffsajt som lagts upp av brottslingar och föll på så sätt offer för nätfiske. Till följd av det kom brottslingarna åt att logga in i kundens nätbank två gånger, 8.4.2024 kl. 11.10 och 11.13. Under den första sessionen skapades ett betalningsuppdrag som gällde en kontoöverföring på 277 982,03 euro och under den andra sessionen bekräftades kontoöverföringen kl. 11.16. Inloggningarna i nätbanken och kontoöverföringen bekräftades med bankens identifieringsapp i kundens telefon. Kontoöverföringen förutsatte dessutom en tilläggsbekräftelse som gavs i identifieringsappen. Av kontoöverföringen har kunden återfått 85 042,58 euro.
Kundens klagomål
Allmänt
Parterna är överens om att kunden sannolikt har hamnat på en bluffsajt genom att ha försökt identifiera sig på en tredje tjänsteleverantörs hemsida med bankens bankkoder och ID-applikation den 8 april 2024.
Användning av bankkoderna för inloggning
Kunden har varit på väg till Helsingfors för en operation den 8 april 2024. Innan han for skulle han komplettera slutföra skattedeklarationen på vero.fi. Han använder sig av webbläsaren Firefox och har vero.fi i sina ”favoriter” eller bokmärken. Efter att klickat på inloggningsikonen till MinSkatt (OmaVero) har sajten bett om att kunden loggar in. Han har då valt banken som identifikationssättet till Skatteförvaltningens e-tjänst (Suomi.fi). Efter att matat in sitt användar-ID har han inte lyckats logga in utan fått ett meddelande om att någonting gick fel och att kontakt ej fås. Han har därefter försökt på nytt på samma sätt med samma resultat. Därefter har han lämnat försöket eftersom han har börjat förbereda sig för avfärden mot Helsingfors.
Dessa inloggningsförsök är förmodligen de som banken i sin utredning säger att ha lett till kontoöverföringen, dvs. 11.10 och 11.13 den 8 april 2024. Kunden är också bestämt av den åsikten att det inte har begärts en tilläggsbekräftelse av honom för en transaktion på 277 982,06 euro – vilket tömt hela hans brukskonto – i något skede. Ifall en sådan transaktion har bekräftats har detta skett via bluffsajten som kommit åt kundens koder då han försökt logga in sig. Det är förstås svårt att bestrida det som banken säger i sitt genmäle, men kunden har begärt och fått identifierings-/inloggningsloggen till sitt konto mellan 1.4 och18.4.2024 och där syns inte någon identifiering över huvud taget för 8.4.2024, vilket gör bankens utredning konstig från kundens synvinkel sett.
Det nästa inloggningsförsöket har varit till MittKanta också på samma sätt, alltså genom att klicka på ikonen i sina ”favoriter” eller bokmärken. Det första inloggningsförsöket till MittKanta lyckades inte heller, men därefter har inloggningen lyckats vid ca 13.30-tiden och då har det öppnats ett Bankfönster med frågan vill du bekräfta en penningöverföring på 5 000 euro åt någon person med ett utländskt namn. Till detta har kunden givetvis svarat nekande och därefter har det kommit ett meddelande om att bankkoderna/ -kontot har spärrats. Kunden är också bestämt av den åsikten att det inte har begärts en tilläggsbekräftelse av honom för en transaktion på 277 982,06 euro.
Kunden är dock ense med banken om att det har varit fråga om s.k. nätfiske. Kunden har absolut inte uppsåtligen eller ens av grov oaktsamhet överlåtit sina bankkoder åt någon obehörig. De nätsidor som kunden besökt den 8 april 2024 har Åtminstone sett ut helt likadana som vanligt och han har ännu också svårt att förstå hur han kunde ha hamnat på en eller flera brottsliga nätsidor då han alltid brukar använda sina bokmärken för att gå in på MinSkatt eller MittKanta.
Bedömning av ärendet
Då kunden använt nätbanken 8.4.2024 har han varit tvungen att försöka logga in minst två gånger både på vero.fi och kanta.fi – eller åtminstone webbplatser som sett ut helt likadana som de riktiga webbplatserna – på grund av avbrott i sessionerna. Det är inte exceptionellt att inloggningen till nätbanken inte alltid lyckas första gången och att användarnumret från banken måste matas in på nytt.
Kunden har åtminstone inte märkt att han skulle ha bekräftat någon som helst penningöverföring i sin nätbank 8.4.2024. Han har endast försökt logga in sig först på vero.fi och sedan på kanta.fi, och den enda gången han har begärts att bekräfta en penningöverföring, har han inte bekräftat denna, utan klickat på "nej" på bankens nätbank – eller åtminstone på en sida som sett ut helt som bankens nätbank. Men fast man skulle utgå från att bankens redogörelse för händelseförloppet är sann, anser kunden ändå att det inte har varit fråga om grov oaktsamhet från kundens sida.
Det kan anses vara ostridigt att kunden aldrig har velat överföra 277 982,06 euro åt någon. Han har varit i kontakt med banken strax efter att han fått ett meddelande där det konstaterats att bankkoderna blivit spärrade, alltså efter det senare inloggningsförsöket och efter att han valt att inte bekräfta en mindre transaktion.
Östra Finlands hovrätt har i sin dom av 13.11.2024 nr 462 i ärendet S 24/214 avgjort ett rätt så likadant fall som det är fråga om i detta ärende. I fallet som hovrätten avgjorde hade banken i fråga vägrat följa FINEs rekommendation i ärendet FINE-042462.
Kunden anser att fallet är jämförbart med det ifrågavarande fallet. Därmed anser kunden att banken bör anses vara ansvarig för hela transaktionen, ifall bedömningen av kundens oaktsamhet inte leder till ett annat slutresultat.
Av någon anledning har alltså kundens försök att logga in antingen på vero.fi eller kanta.fi aktiverat användningen av e-ID:n, genom vilket bedragaren har lyckats göra banköverföringar från kundens konto. I och för sig skall kunden godkänna inloggningen både till vero.fi och till kanta.fi med e-ID:n, så till denna del har det inte väckt några varningsklockor hos kunden. Han är också av den åsikten att han endast försökt logga in på kontot och därefter, då han märkt att det begärts en bekräftelse för en transaktion, har han inte godkänt den.
Uppmärksamhet kan också fästas vid det faktumet att kunden i detta fall har varit 83-årig då han blivit bedragen av tydligen skickliga brottslingar, och inte använder sina nätbankskoder speciellt ofta. Närmast är det fråga om just inloggningar till beskattarens sidor eller MittKanta, samt smärre betalningar av t.ex. tågbiljetter.
Det är ännu också oklart för kunden hurudant meddelande han har fått då han godkänt inloggningen eller transaktionen från sin eID, eller har han fått något meddelande eller tilläggsbekräftelsebegäran. Enligt kunden har det aldrig kommit en bekräftelsebegäran på en annan transaktion än den han svarade Nej på. Endast vid försök att logga in på beskattarens sidor och MittKanta har han använt sina koder och sedan fått ett meddelande att han inte lyckats komma in på nätsidan ifråga. Han är ännu också av den åsikten att det i meddelandena först endast stått att man bör bekräfta inloggningen. När det sedan har stått att kunden borde bekräfta en transaktion har han inte godkänt transaktionen.
Ifall begäranden av betalningsbekräftelser verkligen kommit till kunden och sett ut som de sägs ha gjort, kan kunden godkänna att han borde ha varit mera omsorgsfull. Detta ändrar dock inte det faktumet att han inte har gett sitt samtycke till betalningstransaktionen såsom det stadgas om i 38 § betaltjänstlagen. Därmed bör FINE avgöra huruvida kundens agerande har varit grovt oaktsamt, eller endast oaktsamt av normalgraden.
Det torde nämligen stå klart att kunden inte har velat överföra alla sina pengar från sitt brukskonto till ett annat konto (i banken, vilket gjort det även svårare för honom att upptäcka något svindleri), eller att han skulle ha haft något som helst behov av att göra det. Därmed är det redan i det tidigare hänvisade avgörandet av Östra Finlands hovrätt relevant. Och även om den domen inte skulle ha vunnit laga kraft är det ändå fråga om en hovrättsdom, i vilken hovrätten därtill har kommit till samma slutsats som FINE i sitt beslut, och likaså tingsrätten tidigare i samma ärende.
I de bekräftelsemeddelanden för överföringen som banken uppgett – och vilka kunden ännu också inte kan tänka sig ha fått – har det inte varit fråga om en klumpig eller tafatt banksvindel, vilket en typisk banktjänstanvändare utan vidare borde fatta vara svindel. Däremot tycks det ha varit fråga om ett professionellt bedrägeri. Kunden har gått miste om alla pengar på sitt brukskonto, och han kan inte acceptera att banken inte skulle ha något ansvar för att bankens kontrollsystem inte fungerar på ett godtagbart sätt.
Därtill vill kunden också lyfta fram bankens övriga ansvar, även om bankens ansvar inte tillmätts desto större betydelse i det åberopade hovrättsfallet. Det har i transaktionen varit fråga om en avsevärd summa pengar som har överförts till ett annat konto i banken. Därmed skiljer sig utgångsläget från Östra Finlands hovrätts dom, där det var fråga om en utländsk bank dit pengarna hade överförts och den finländska banken inte haft tillgång till mottagarbankens uppgifter. Det borde rimligen ha kunnat förväntas att banken ens ringer upp kunden och frågar om han verkligen vill överföra nästan 300 000 euro – och därmed tömma hela sitt konto – till ett konto dit han aldrig tidigare har överfört någonting, och att ett så avsevärt belopp fryses från mottagarens konto, som funnits i banken, tills man bekräftat transaktionens giltighet. Bankens säkerhetsfunktioner har tydligen inte varit tillräckliga, särskilt då man beaktar kundens ålder och vana vid att använda nätbankstjänster. Han har ej agerat grovt oaktsamt i ärendet.
Kunden har inte kännedom om hur, vart och när pengar sedan har överförts från mottagarkontot, och vilka av dessa transaktioner sedan har kunnat återkallas, annat än vad han fått veta från polisen. Han har alltså inte kännedom om varför endast ca 85 000 euro har lyckats återfås.
Kunden anser att han åtminstone inte förfarit grovt oaktsamt. Därmed bör FINE rekommendera att banken tar ansvar för den oberättigade kontoöverföringen och återbetalar hela summan om 277 982,06 åt kunden, med avdrag om den summa som redan återfåtts.
Bankens bemötande
Betalning som bekräftats med bankkoder
Enligt kundens uppfattning borde meningsskiljaktigheten lösas så att banken påförs hela ansvaret för den skada som den obehöriga betaltransaktionen har gett upphov till. Tyvärr delar banken inte kundens uppfattning om ansvarsfördelningen. Lagen, avtalsvillkoren och den avgörandepraxis som iakttagits i motsvarande fall talar för att det inte har varit fråga om en obehörig betaltransaktion som lett till en skada som banken bör ansvara för. Orsaken är att kunden gav sitt samtycke till att betalningen debiterades, även om det skedde för att han litade på uppgifter som senare visade sig vara felaktiga.
Händelseförloppet
Kunden berättar att han försökte logga in i tjänsten MittKanta men att det inte lyckades genast. När inloggningen lyckades öppnades en sida som liknade bankens och där det frågades om han höll på att överföra 5 000 euro till en okänd person. Efter att kunden svarat nekande meddelade webbsidan att kundens konto spärras. Enligt bankens tolkning har kunden hamnat på en bluffsajt där han har gett sina bankkoder och dessutom via bankens identifieringsapp bekräftat notiser som en utomstående har åstadkommit genom att utnyttja de bankkodsuppgifter som denna utomstående har fått av kunden.
Utgående från bankens logguppgifter kan man konstatera att det 8.4.2024 loggades in två gånger i kundens nätbank. Båda sessionerna företogs genom att bankens identifieringsapp som kunden hade tillgång till användes för inloggningen. Den första inloggningen skedde 8.4.2024 kl. 11:10. Under sessionen skapades en kontoöverföring som omfattade 277 982,06 euro. Följande session började 8.4.2024 kl. 11:13. Under den sessionen bekräftades kontoöverföringen kl. 11:16 via bankens identifieringsapp, som kunden hade tillgång till.
I fallet har alltså inloggningen till nätbanken bekräftats två gånger med bankens identifieringsapp, som kunden hade tillgång till, och en kontoöverföring har likaså bekräftats med identifieringsappen.
De bekräftelsemeddelanden som gällde kontoöverföringen lyder som följer:
Det första bekräftelsemeddelandet
”[Bankens nättjänst] begär bekräftelse
Jag vill betala
belopp: 277 982,06 EUR
mottagare: [Kundens namn]
till konto: FIxx xxxx xxxx xxxx xx
datum: 2024-04-08
från konto: FIxx xxxx xxxx xxxx xx”
Bekräftat 08.04.2024 kl. 11:15.
Meddelandet om tilläggsbekräftelse
”[Bankens nättjänst] begär bekräftelse.
Du håller på att göra en betalning som kräver tilläggsbekräftelse.
Granska att uppgifterna nedan är korrekta.
belopp: 277 982,06 EUR
till konto: FIxxxxxxxxxxxxxxxx
mottagare: [Kundens namn]
från konto: FIxxxxxxxxxxxxxxxxx”
Bekräftat 08.04.2024 kl. 11:16.
Kunden aktiverade bankens identifieringsapp 11.09.2020.
I bekräftelsemeddelandena visas som mottagare kundens eget namn, eftersom det i betalningsuppdraget hade skrivits in som betalningsmottagarens namn, trots att innehavaren av motkontot i själva verket är en annan person. Utöver betalningsmottagarens namn anges i bekräftelsemeddelandet mottagarens kontonummer. Bekräftelsemeddelandets innehåll motsvarar lagstiftningskraven.
En del (85 041,58 euro) av de medel som ingick i transaktionen har kunden senare återfått i tre poster.
Tillämplig lagstiftning samt avtalsvillkor
Enligt 38 § i betaltjänstlagen får en betalningstransaktion genomföras endast om betalaren har gett sitt samtycke. En betalningstransaktion som betalaren inte har samtyckt till på avtalat sätt anses vara obehörig.
På avtalet mellan banken och kunden om bankkoder tillämpas de allmänna avtalsvillkoren för tjänster som används med bankkoder. I avtalsvillkoren sägs följande: ”Tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille verkkopankkipalvelun edellyttämällä tavalla.”
Enligt 44 § i betaltjänstlagen får tjänsteleverantören genomföra en betalningstransaktion på basis av en unik identifikationskod trots att betaltjänstanvändaren utöver den även har gett annan information för genomförande av transaktionen.
I punkt 3 i de allmänna villkoren för förmedling av eurobetalningar inom eurobetalningsområdet sägs följande: ”Tilisiirto välitetään maksunsaajalle yksinomaan IBANin perusteella, vaikka maksaja olisi antanut lisäksi muita tietoja maksutapahtuman toteuttamiseksi”.
Ansvar för en betalning som bekräftats med bankkoder
Den omtvistade betaltransaktionen beror på uppgiftsfiske, dvs. nätfiske. Att kunden misstagit sig beträffande betalningens verkliga natur är synnerligen ledsamt, och banken beklagar det som hänt. Misstaget överför ändå inte ansvaret för betaltransaktionen till banken i och med att betaltransaktionen genomfördes med kundens samtycke, med användning av stark kundautentisering som avses i betaltjänstlagen. Den omtvistade betalningen förblir på kundens ansvar, eftersom den har bekräftats via bankens identifieringsapp där de väsentliga betalningsuppgifterna har visats för kunden. När en kund på basis av en begäran om bekräftelse ger banken sitt samtycke till att en betalning debiteras är betalningen inte obehörig enligt 38 § i betaltjänstlagen, fastän det i efterhand kan visa sig att betalningen hänför sig till nätfiske och nätbrottslighet. Därför har banken inte möjlighet att ersätta kunden för den skada som den omtvistade betalningen har orsakat.
Banken har i överensstämmelse med villkoren för tjänsten genomfört betalningen på basis av kontonumret, alltså en unik identifikationskod. Banken har enligt 44 § i betaltjänstlagen inte heller någon skyldighet att kontrollera att den unika identifikationskoden motsvarar de övriga uppgifter som getts i betalningsuppdraget. Banken har i fallet inte varit skyldig att kontrollera om mottagarens kontonummer tillhörde den person som uppgetts som betalningsmottagare.
Det är synnerligen beklagligt att kunden fallit offer för ett bedrägeri. Banken måste emellertid bemöta alla sina kunder som befinner sig i samma situation jämlikt. Av gällande lagstiftning följer att sådana fall av nätfiske där kunden själv godkänner en betalning inte omfattas av bankens ekonomiska ansvar.
Grov vårdslöshet
Om det trots ovannämnda motivering skulle anses att betalningen varit obehörig, anser banken i andra hand att kunden med stöd av 62 § i betaltjänstlagen ska stå för skadan, eftersom kunden av grov vårdslöshet försummat att fullgöra sina skyldigheter enligt 53 § 1 mom. i betaltjänstlagen.
Enligt regeringens proposition RP 169/2009 avses med grov vårdslöshet sådan synnerligen allvarlig oförsiktighet som tyder på uppenbar likgiltighet för säkerhetsriskerna i samband med besittning och användning av betalningsinstrument. Vid bedömningen av om en betaltjänstinnehavares förfarande har varit grovt vårdslöst ska beaktas samma omständigheter som de vilka ovan i motiveringen till 53 § och till denna paragrafs 1 mom. 2 punkten konstateras påverka bedömningen av omsorgsfullheten. För att vårdslösheten ska kunna betraktas som grov måste betalningsinstrumentets innehavare emellertid handla på ett sätt som klart och väsentligt avviker från de krav som ställs på ett omsorgsfullt handlande. Det är fråga om en helhetsbedömning där man kan beakta i synnerhet hur stor skaderisken är och möjligheten att vidta försiktighetsåtgärder.
I fallet har kunden sannolikt gett sina personliga identifikationsuppgifter på bluffsajten. Kunden har godkänt åtkomsten till sin nätbank genom att han via bankens identifieringsapp godkände inloggningen, och dessutom har kundens app använts för att godkänna en begäran om betalningsbekräftelse där de väsentliga uppgifterna om betalningen har kunnat ses. I begäran om betalningsbekräftelse har det tydligt sagts att kunden håller på att genomföra en betalning. Det belopp som överföringen omfattar har nämnts, liksom också betalningsmottagarens kontonummer. Kunden har också tilläggsbekräftat betaltransaktionen, alltså godkänt betalningen en andra gång. Banken känner inte till att svindlarna skulle ha aktiverat bankens identifieringsapp i en ny apparat, utan den tillämpning som 11.09.2020 aktiverades i kundens apparat har använts för händelserna.
Banken har genomfört betalningen på basis av kontonumret, alltså en unik identifikationskod. Banken har enligt 44 § i betaltjänstlagen inte någon skyldighet att kontrollera att den unika identifikationskoden motsvarar de andra uppgifter som getts i betalningsuppdraget. Banken har i fallet inte varit skyldig att kontrollera att mottagarens kontonummer inte tillhör den person som uppgetts vara betalningsmottagare. Kunden svarar för att kontrollera betalningsmottagarens kontonummer.
Enligt vad kunden berättat har han själv inte gett det betalningsuppdrag genom vilket medlen överförts till en bedragare, vilket gör att kundens ansvar för att kontrollera den inmatade betalningsinformationen framhävs. I fallet har kunden godkänt överföringen av pengarna till kontot.
Banken anser att kundens uttryck för viljan att godkänna inloggningen i nätbanken och bekräftelsen av betalningen till ett för kunden okänt konto i en situation där kundens avsikt varit att anlita tjänsten MittKanta, som innehåller hans egna hälsouppgifter, visar på synnerligen allvarlig oförsiktighet och likgiltighet för säkerhetsriskerna i samband med användning av betalningsinstrument. Som helhet betraktat har kunden gått grovt vårdslöst till väga när han gett sina bankkoder och godkänt inloggningen i nätbanken och betalningen.
Banken anser vidare att kundens uttryck för viljan att godkänna bekräftelsen av en anmärkningsvärt stor betalning i en situation där kunden inte själv kontrollerat uppgifterna i betalningsuppdraget visar på synnerligen allvarlig oförsiktighet och likgiltighet för säkerhetsriskerna i samband med användning av betalningsinstrument. Därmed ansvarar kunden fullt ut för skadan.
Det har förblivit oklart hur kunden har hamnat på en bluffsajt. Angående händelseförloppet har kunden berättat bara att han använde länkar som hade sparats i webbläsaren. Bankens logguppgifter tyder på att nätfisket eventuellt skedde via textmeddelande eller e-post, inte i form av s.k. sökmotorbedrägeri. Banken är emellertid inte helt på det klara med händelseförloppet, eftersom kunden inte har kunnat beskriva händelserna särskilt detaljerat.
Kunden har berättat att han enligt sin egen åsikt inte har överlåtit sina koder till någon tredje part. Inloggning i nätbanken samt skapande och godkännande av betaltransaktioner förutsätter att personliga identifikationsuppgifter används, och de uppgifterna innehas endast av kunden själv eller av någon som kunden i strid med villkoren har överlåtit uppgifterna till.
Det nämnda avgörandet av Östra Finlands hovrätt har enligt bankens uppfattning inte vunnit laga kraft ännu, och omständigheterna i målet är andra än i det här fallet.
Slutledningar
Banken delar inte kundens uppfattning om ansvarsfördelningen. Lagen, avtalsvillkoren och den avgörandepraxis som iakttas i motsvarande fall talar för att det inte har varit fråga om en obehörig betaltransaktion som lett till en skada som banken bör ansvara för. Bankens uppfattning grundar sig på att kunden gav sitt samtycke till att betalningen debiterades, även om det skedde för att han litade på uppgifter som senare visade sig vara felaktiga.
Om det trots vad som ovan sägs skulle anses att betalningen varit obehörig, anser banken i andra hand att kunden med stöd av 62 § i betaltjänstlagen ska stå för skadan eftersom kunden av grov vårdslöshet försummat att fullgöra sina i 53 § 1 mom. i betaltjänstlagen avsedda skyldigheter. Enligt bankens uppfattning har kunden fallit offer för nätfiske och hamnat på en bluffsajt, där han överlåtit sina personliga bankkoder samt bekräftat händelser via bankens identifieringsapp och gjort det möjligt för bedragarna att agera i kundens namn genom att överlåta sina personliga uppgifter till tredje parter. Även om det är synnerligen ledsamt att kunden råkat ut för nätfiske svarar banken inte för kundens ekonomiska förlust, det är förbrytaren som har ansvaret för dem.
Utredningar
Utöver parternas skrivelser med anknytning till klagomålet har följande handlingar getts in till nämnden:
- Allmänna villkor för avtal om tjänster som används med bankkoder (på finska)
- Allmänna villkor för förmedling av eurobetalningar inom eurobetalningsområdet (på finska)
- Undersökningsanmälan (inlämnad 11.4.2024)
- E-postkorrespondens mellan kunden och polisen
- Skärmdump av kundens textmeddelanden
- Skärmdump av kundens samtal
- Skärmdump av textmeddelande som kunden 8.4.2024 kl. 15.06 fått från banken om spärrande av bankkoderna
- Bild som visar kundens kontotransaktioner
- Referat av Östra Finlands hovrätts dom 13.11.2024 nr 462 i målet S24/214
- Uppgifter om inloggningar via bankens identifieringsapp under tiden 1.4– 18.4.2024
- Logguppgifter som gäller inloggningarna
Beslutsrekommendation
Frågeställning
För att kunna avgöra ansvarsfördelningen mellan kunden och banken behöver Banknämnden först avgöra om det kan anses att kunden har gett sitt i 38 § i betaltjänstlagen avsedda samtycke till kontoöverföringen i fråga eller om betaltransaktionen bör betraktas som obehörig. Om det i fallet anses vara fråga om obehörig användning av betalningsinstrument behöver nämnden bedöma huruvida den obehöriga användningen av betalningsinstrumentet kan anses ha berott på att kunden av vårdslöshet har försummat sina skyldigheter enligt lagens 53 § 1 mom. och enligt villkoren för bankkoderna samt graden av kundens eventuella vårdslöshet.
Tillämpliga lagrum och avtalsvillkor
I 8 § (Definitioner) i betaltjänstlagen föreskrivs som följer:
I denna lag avses med
[...]
21) unik identifikationskod en kombination av bokstäver, siffror eller symboler som tjänsteleverantören fastställer för betaltjänstanvändaren och som användaren ska uppge för att identifiera en annan betaltjänstanvändare eller dennes betalkonto vid en betalningstransaktion,
[...]
I 38 § (Betalarens samtycke till att en betalningstransaktion genomförs) 1 mom. i betaltjänstlagen föreskrivs som följer:
En betalningstransaktion får genomföras endast om betalaren har gett sitt samtycke. En betalningstransaktion som betalaren inte har samtyckt till på avtalat sätt anses vara obehörig.
I 53 § 1 mom. i betaltjänstlagen föreskrivs som följer:
Innehavaren av ett betalningsinstrument ska använda detta i enlighet med villkoren för beviljande och användning. Innehavaren ska i synnerhet vidta skäliga åtgärder för att skydda betalningsinstrumentet och tillhörande personliga säkerhetsbehörighetsupgifter. Villkoren för beviljande och användning av betalningsinstrumentet får inte vara ogrundade, oskäliga eller diskriminerande.
I 54 § 1 mom. i betaltjänstlagen föreskrivs som följer:
Innehavaren av ett betalningsinstrument ska utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som tjänsteleverantören utsett om att betalningsinstrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.
I 62 § i betaltjänstlagen föreskrivs som följer:
En betaltjänstanvändare som har ingått avtal om ett betalningsinstrument med en tjänsteleverantör ansvarar för användningen av ett betalningsinstrument som har förlorats eller orättmätigt innehas av någon annan eller för annan obehörig användning av betalningsinstrumentet endast om den obehöriga användningen beror på att betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet
1) har överlåtit det till någon som inte är behörig att använda det,
2) av vårdslöshet har försummat sina skyldigheter enligt 53 § 1 mom., eller
3) har försummat att utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som denne utsett om att betalningsinstrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.
I de fall som avses i 1 mom. 2 och 3 punkten är betaltjänstanvändarens ansvar för obehörig användning av betalningsinstrumentet högst 50 euro.
Denna begränsning tillämpas dock inte om betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet har handlat avsiktligt eller grovt vårdslöst.
Betaltjänstanvändaren ansvarar inte för obehörig användning av betalningsinstrumentet
1) till den del som betalningsinstrumentet har använts efter att tjänsteleverantören eller någon annan som denne utsett har underrättats om att betalningsinstrumentet förlorats, orättmätigt innehas av någon annan eller används obehörigen,
2) om tjänsteleverantören har försummat att se till att en innehavare av ett betalningsinstrument har möjlighet att när som helst göra anmälan enligt 1 punkten,
3) om betalningsmottagaren vid användningen av betalningsinstrumentet inte vederbörligen har försäkrat sig om betalarens rätt att använda instrumentet, eller
4) om tjänsteleverantören inte har krävt stark kundautentisering av betalaren.
Trots 3 mom. är betaltjänstanvändaren ansvarig för obehörig användning av ett betalningsinstrument, om användaren eller någon annan innehavare av betalningsinstrumentet avsiktligt har lämnat en oriktig anmälan eller annars handlat bedrägligt.
I 63 § (Tjänsteleverantörens ansvar för obehöriga betalningstransaktioner) 1 mom. i betaltjänstlagen föreskrivs som följer:
Om en betalningstransaktion har genomförts obehörigen och om inte något annat följer av 62 § ska tjänsteleverantören till den kund vars medel har använts för att genomföra transaktionen omedelbart och senast följande bankdag efter det att tjänsteleverantören har noterat eller underrättats om transaktionen återbetala transaktionens belopp till kunden eller återställa det debiterade betalkontots kontoställning till vad den skulle ha varit om debiteringen inte hade ägt rum.
I avsnittet Tunnistautumistietojen käyttäminen i villkoren för bankkoderna sägs följande:
Tunnistautumistietoja saa käyttää vain se pankkitunnuksilla käytettäviä palveluja koskevan sopimuksen tehnyt asiakas, jolle pankki on antanut tunnistautumistiedot.
Tunnistautumistietojen käyttöä koskevat ohjeet pankki ilmoittaa pankkitunnusten turvallista käyttöä koskevissa ohjeissaan.
I avsnittet Tunnistautuminen Verkkopankkipalveluun i villkoren för bankkoderna sägs följande:
Verkkopankkipalvelujen käyttämiseksi asiakas tunnistautuu ilmoittamalla pankille Verkkopankkipalveluun kirjautuessaan tunnistautumistietonsa. Asiakkaan kirjauduttua Verkkopankkipalveluun asiakas ei saa antaa avattua palveluyhteyttä muun tahon käytettäväksi.
Tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimuksetsekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille Verkkopankkipalvelun edellyttämällä tavalla.
I avsnittet Yleistä tunnistautumistietojen säilyttämisestä ja asiakkaan vastuusta i villkoren för bankkoderna sägs följande:
Kuluttaja-asiakkaan tunnistautumistiedot ovat henkilökohtaiset, eikä niitä saa osittainkaan luovuttaa sivullisen tietoon tai haltuun. Kuluttaja-asiakas ei saa antaa valtuutusta tunnistautumistietojen käyttämiseen.
[...]
Asiakas sitoutuu säilyttämään tunnistautumistiedot huolellisesti ja varmistamaan säännöllisesti, että tunnistautumistiedot ovat tallessa. Asiakkaan tulee huolehtia, etteivät tunnistautumistiedot joudu osittainkaan sivullisen tietoon tai haltuun. Asiakas sitoutuu säilyttämään käyttäjätunnuksesta, tunnistautumislaitteesta, [pankin tunnistussovellus] -sovelluksesta, salasanasta, PIN-koodista tai muista pankin hyväksymistä tunnistautumistavoista koostuvat tunnistautumistiedot erillään toisistaan. Tunnistautumistietoja ei saa kopioida, tallentaa tai toisintaa muutoin kuin pankin järjestelmään tai pankin hyväksymällä tavalla.
Mikäli tunnistautumistiedot ovat kadonneet tai asiakkaalla on syytä epäillä, että ne ovat joutuneet tai saattaneet joutua osittainkin sivullisen tietoon tai haltuun, asiakas on velvollinen välittömästi ilmoittamaan tästä pankille palvelujen asiattoman käytön estämiseksi. [...]
I avsnittet Maksutoimeksiannon antaminen i de allmänna villkoren för förmedling av eurobetalningar inom eurobetalningsområdet sägs följande:
[...]
Tilisiirto välitetään maksunsaajalle yksinomaan IBANin perusteella, vaikka maksaja olisi antanut lisäksi muita tietoja maksutapahtuman toteuttamiseksi.
[...]
Bedömning
Enligt de utredningar som banken gett i ärendet bekräftades inloggningarna i kundens nätbank 8.4.2024 och kontoöverföringen via bankens identifieringsapp som kunden hade tagit i bruk 11.09.2020. Banknämnden har inte anledning att tvivla på att den av banken framlagda utredningen, som baserar sig på bankens systemuppgifter, stämmer.
I identifieringsappen visades som sig bör texten ”[Bankens nättjänst] begär bekräftelse." innan betalningen bekräftades, och likaså visades uppgifter om betalningen, däribland beloppet i euro och betalningsmottagarens kontonummer. I bekräftelsebegäran sågs kundens namn som uppgift om mottagaren, eftersom brottslingarna i det betalningsuppdrag som de skapat hade angett kunden som betalningsmottagare. Genomförandet av kontoöverföringen förutsatte utöver den sedvanliga betalningsbekräftelsen via identifieringsappen också en tilläggsbekräftelse via samma app. I samband med tilläggsbekräftelsen konstaterades innan tilläggsbekräftelsen gavs de ovannämnda uppgifterna samt följande text: ”Du håller på att göra en betalning som kräver tilläggsbekräftelse. Granska att uppgifterna nedan är korrekta.”
Banknämnden har i sin vedertagna avgörandepraxis ansett att i fall där ett brottsoffer som blivit lurat själv har godkänt de omtvistade betalningarna, t.ex. genom bankens mobilapp som installerats i kundens telefon, och uppgifterna om den betalning som ska bekräftas har visats i appen innan bekräftelsen getts, har banken inte rekommenderats att gottgöra kunden för den skada som uppkommit. I sådana fall har det ansetts att fastän kunden har vilseletts av brottslingar att bekräfta betalningarna har ändå kunden själv gett sitt i 38 § i betaltjänstlagen och i de tillämpliga villkoren avsedda samtycke till betalningarna, och betaltransaktionerna är då inte obehöriga på det sätt som avses i betaltjänstlagen. Därför har det inte heller funnits någon grund för att betrakta banken som ansvarig för den skada som kunden lidit genom betalningarna.
Banknämnden har inte anledning att bedöma det aktuella fallet på något annat sätt. Trots att kunden bekräftade kontoöverföringen därför att han hade blivit vilseledd av brottslingar saknar detta betydelse i förhållandet mellan kunden och banken. Banknämnden anser att kunden gett sitt i 38 § i betaltjänstlagen avsedda samtycke till genomförande av betaltransaktionen och sitt i villkoren för användning av bankkoder avsedda samtycke till bankens debitering av betaltransaktionen från hans konto. Därmed anser nämnden att betaltransaktionen i fråga inte är obehörig på det sätt som avses i betaltjänstlagen och att det i fallet därmed inte finns någon grund för att betrakta banken som ansvarig för den skada som drabbat kunden i och med kontoöverföringen.
I fallet har kunden hänvisat till Östra Finlands hovrätts avgörande av 13.11.2024. Till denna del konstaterar Banknämnden av tydlighetsskäl att det nämnda fallet, som behandlades i Banknämnden redan våren 2022, vad händelseförloppet beträffar skiljer sig från det fall som det nu är fråga om, och dessutom har hovrättens avgörande ännu inte vunnit laga kraft.
Angående bankens förfarande
Kunden har i fallet också hänvisat till att bankens säkerhetsfunktioner inte har varit tillräckliga.
Banknämnden konstaterar att bankerna enligt regleringen om betaltjänster ska ha tillgång till sådana mekanismer för övervakning av betalningstransaktioner med vars hjälp de kan upptäcka transaktioner som är obehöriga och bedrägliga. Den här skyldigheten har ändå ingen direkt inverkan på ansvarsfördelningen mellan banken och kunden vad gäller obehörig användning av betalningsinstrument. Banknämnden anser att banken därmed inte är skyldig att ersätta kundens skada på den grunden att banken inte stoppade betalningen och inte heller reagerade på den på något annat sätt.
Slutledningar
Med hänvisning till vad som sägs ovan rekommenderar Banknämnden inte gottgörelse i ärendet.
Banknämnden var enig.
BANKNÄMNDEN
Ordförande Sillanpää
Sekreterare Hidén
Medlemmar:
Atrila
Piilo
Punakivi
Tervonen