Tapahtumatiedot
Rikolliset ovat päässeet 31.7.2024 kirjautumaan omalla laitteellaan asiakkaan mobiilipankkiin. Kirjautuminen on vahvistettu asiakkaan omalla pankin tunnistussovelluksella, jonka vahvistuspyynnössä on lukenut seuraavasti: "Vahvista kirjautuminen kohteeseen [pankin] mobiilisovellus". Samaan aikaan asiakas on myös itse kirjautunut verkkopankkiinsa.
Rikolliset ovat tehneet asiakkaan mobiilipankissa oikeudettomia siirtoja asiakkaan käytössä olevien tilien välillä ja liittäneet klo 13.47 ja 13.48 asiakkaan yhdistelmäkortin debit ja credit-puolen laitteensa OPPO - CPH2577 GooglePay-maksutapaan. GooglePayn käyttöönotto ei ole edellyttänyt erillistä vahvaa tunnistamista eikä tietoa asiakkaan korttitiedoista. Pankki on lähettänyt liitoksista asiakkaalle tekstiviestit 13.47 ja 13.48:
"[Pankin] korttisi (kortin neljä viimeistä numeroa: 8336 on nyt liitetty GooglePayhin. Ystävällisin terveisin, [pankki]."
"[Pankin] korttisi (kortin neljä viimeistä numeroa: 5051 on nyt liitetty GooglePayhin. Ystävällisin terveisin, [pankki]."
GooglePay-maksutapaa käyttäen on 18.-27.8.2024 välisenä aikana tehty oikeudettomia korttimaksuja yhteensä 1.657,82 euron arvosta.
Asiakas on huomannut oikeudettomat korttitapahtumat sekä tilisiirrot 28.8.2024 ja soittanut pankin asiakaspalveluun, jolloin hänen korttinsa ja verkkopankkitunnuksensa on suljettu.
Asiakkaan valitus
Asiakas vaatii pankkia korvaamaan 2.000 euroa, joka kokonaisuudessa lähti luottopuolelta, lasten tileiltä ja asiakkaan omalta käyttötililtä.
Asiakkaan tileiltä on siirretty luvattomasti rahaa Ruotsiin ja Saksaan. Asiakkaan puhelimeen ei ole tullut mitään vahvistuspyyntöä, asiakas ei ole saanut sellaista viestiä. Asiakas kävi puhelimensa läpi eikä sieltä löytynyt asiaan tai GooglePayhyn liittyviä vahvisteita 31.7.2024.
Asiakas on lähettänyt kuvakaappauksia pankilta saamistaan tekstiviesteistä. 31.7.2024 klo 13.47–13.48 asiakkaan numeroon ei ole tullut vahvistusviestiä niin kuin kuvista näkyy. Asiakas ei ole voinut reagoida viestein, joita ei ole saanut, eikä siis voinut estää väärinkäyttöä. Asiakkaalla itsellä ei ole sormenjälkitunnistus-sovellusta puhelimessa, eikä siis sitä käytä.
Pankin vastine
Asiakkaan Visa Credit/Debit kortin kredit puolella sekä Visa Debit kortilla on tehty oikeudettomia korttimaksuja 18.-27.8.2024 yhteissummalla 1.657,82 euroa. Oikeudettomat tapahtumat on tehty GooglePay-maksutavalla. Pankin lokitietojen perusteella GooglePay-maksutapaan liitetyt virtuaaliset korttinumerot (Tokenit) on muodostettu 31.7. klo 13.47–13.48 aikavälillä. Maksutapa on tällöin otettu käyttöön laitteella OPPO - CPH2577 ja liitos on tehty mobiilipankissa.
Asiakkaan reklamaatiosta ei ilmene, onko asiakas yrittänyt kirjautua kolmannen osapuolen palveluun tai pankin omille verkkosivuille kyseisenä aikana. Pankin näkemyksen mukaan asiakkaan on täytynyt syöttää verkkopankkitunnuksensa huijaussivustolle, mistä petoksentekijä on saanut asiakkaan verkkopankkitunnukset haltuunsa ja kirjautunut näillä pankin mobiiliin omalla laitteellaan.
Asiakas on vahvistanut kirjautumisen pankin mobiiliin pankin tunnistussovelluksella luullessaan vahvistavansa oman kirjautumisensa kolmannen osapuolen palveluun / verkkopankkiin. Tunnistussovelluksessa on näytetty tällöin teksti "Vahvista kirjautuminen kohteeseen [pankki] mobiilisovellus" sen sijaan, että vahvistusta olisi pyydetty kohteeseen Telia / Suomi.fi -tunnistus palveluntarjoajan luomaan tapahtumatunnisteeseen verraten.
Asiakkaan verkkopalvelusopimuksen lokitiedot vahvistavat, että mobiilisovellukseen on kirjauduttu 31.7. laitteella OPPO - CPH2577 klo 13.43 toisesta IP-osoitteesta. Petoksentekijä on päässyt kirjautumaan asiakkaan mobiiliin ja liittänyt kortit sitä kautta GooglePayhin. Petoksentekijä on myös ottanut sormenjälkitunnistuksen käyttöön. Asiakkaan on tämä pitänyt vielä erikseen vahvistaa tunnistussovelluksella petoksentekijälle. Samaan aikaan on asiakas itse kirjautunut verkkopankkiin.
Kortin voi liittää GooglePayhin pankin mobiilissa painamalla "Lisää kortti GooglePayhin." - painiketta, jonka jälkeen valitaan maksutapaan liitettävä kortti sekä yhdistelmäkorteissa kortin Credit- tai Debit -puoli. Käyttöehtojen hyväksymisen jälkeen maksutapa on valmis käytettäväksi. Erillistä vahvistusta ei edellytetä, kun asiakkaan tunnistaminen on jo tehty mobiilipankkiin kirjautuessa. Tästä ei ole siis mitään erillistä vahvistusviestiä lähtenyt asiakkaalle. Liitoksesta kertova tekstiviesti lähetetään asiakastiedoissa olevaan numeroon. Mikäli asiakas olisi reagoinut saamiinsa tekstiviesteihin ei väärinkäyttöä olisi välttämättä tapahtunut sillä kortin väärinkäyttö ei ole kuitenkaan tapahtunut heti kortin liittämisen jälkeen, vaan vasta muutaman viikon kuluttua.
Asiakkaalle on lähetetty kaksi tekstiviestiä 31.7. klo 13.47 ja 13.48:
"[Pankin] korttisi (kortin neljä viimeistä numeroa: 8336 on nyt liitetty GooglePayhin. Ystävällisin terveisin, [pankki]."
"[Pankin] korttisi (kortin neljä viimeistä numeroa: 5051 on nyt liitetty GooglePayhin. Ystävällisin terveisin, [pankki]."
GooglePayn aktivointiviestit on lähetetty asiakkaan tiedoissa olevaan puhelinnumeroon. Mikäli asiakkaan puhelinnumero on muuttunut, on asiakkaan vastuulla ilmoittaa pankille uusi puhelinnumero. Pankin lokitietojen mukaan lähetetyt viestit ovat menneet asiakkaalle perille. Mikäli asiakas ei näitä siitä huolimatta ole saanut tulee hänen tarkistaa oman laitteen asetukset, mikäli hän on estänyt kyseisen puhelinnumeron.
Korttiehdoissa on maininta osiossa 7. Pankin ja kortinhaltijan välinen viestintä kohdassa 7.2. Viestintä ja ilmoituksen tiedoksisaantihetki. ”Kortinhaltijan Korttiin liittyvästä turvallisuusuhasta, Kortin sulkemisesta, Kortin käytön rajoittamisesta, tai Kortin käyttöön liittyvistä muista toimenpiteistä Pankki ilmoittaa Kortinhaltijalle tekstiviestillä, muulla kirjallisella ilmoituksella, tai soittamalla [pankille] ilmoitettuun puhelinnumeroon.”
Kortin väärinkäyttö ei ole kuitenkaan tapahtunut heti kortin liittämisen jälkeen, vaan vasta 2,5 viikon kuluttua. Asiakas on huomannut oikeudettomat korttitapahtumat sekä tilisiirrot 28.8. ja soittanut pankin asiakaspalveluun, jossa on suljettu asiakkaan kortti sekä verkkopankkitunnukset. Koska petoksentekijällä on ollut sormenjälkitunnustus käytössä, on hän päässyt tekemään oikeudettomat tilisiirrot asiakkaan tilien välillä. Petoksentekijä on ottanut sormenjälkitunnistuksen käyttöön, ei siis asiakas omalle laitteelleen. Asiakkaan on tämä kumminkin pitänyt vielä erikseen vahvistaa tunnistussovelluksella petoksentekijälle. Sormenjälkitunnistuksen aktivoiminen vaatii aina erillisen vahvistuksen tunnistussovelluksella.
Mobiilipankissa pystyy tekemään tilisiirtoja omien tilien välillä sekä käyttöoikeustilien välillä, mikäli tämä on sallittu asiakkaan verkkopalvelusopimuksella. Tilisiirrot eivät vaadi erillistä vahvistusta tunnistussovelluksella. Asiakkaan verkkopankkisopimuksella on sallittu tilisiirrot otto/pano sekä maksaminen lasten tileiltä.
Vastuujakopäätöksessä pankki katsoo, että väärinkäyttö kokonaisuudessaan jää asiakkaan vastuulle perustuen maksupalvelulain 53 ja 62 pykälään ja pankin Henkilöasiakkaan pankkitunnuksilla käytettävien palveluiden yleisiin ehtoihin. Asiakas vastaa pankkitunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos asiakas on luovuttanut tunnukset niiden käyttöön oikeudettomalle.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Kuvia pankin lokitiedoista
- Kuva pankin tunnistussovelluksen vahvistuspyynnöstä koskien mobiilipankkiin kirjautumista
- Kuvakaappauksia asiakkaan vastaanottamista pankin lähettämistä tekstiviesteistä
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko pankin katsoa edellyttäneen vahvaa tunnistamista otettaessa käyttöön Google Pay -palvelua asiakkaan korttitiedoilla laitteella OPPO - CPH2577, ja ratkaistava, olisiko pankin tullut edellyttää vahvaa tunnistamista. Mikäli vahvaa tunnistamista on edellytetty tai pankki ei olisi ollut velvollinen edellyttämään vahvaa tunnistamista, lautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja korttiehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 8 §:n (Määritelmät.) mukaan
Tässä laissa tarkoitetaan:
[…]
24) vahvalla tunnistamisella maksupalvelun käyttäjän sähköistä tunnistamista, jossa suojataan tunnistamistiedon luottamuksellisuutta ja käytetään menettelyä, joka perustuu vähintään kahteen seuraavista kolmesta toisistaan riippumattomasta vaihtoehdosta:
a) johonkin, mitä vain maksupalvelun käyttäjä tietää;
b) johonkin, mitä vain maksupalvelun käyttäjällä on hallussaan;
c) maksupalvelun käyttäjän yksilöivään ominaisuuteen;
[…]
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Maksupalvelulain 85 c §:n (Tunnistaminen) 1 momentin mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1) käyttää maksutiliään tietoverkon välityksellä;
2) käynnistää sähköisen maksutapahtuman;
3) toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
Jos maksaja käynnistää sähköisen maksutapahtuman etäviestimellä, palveluntarjoajan on käytettävä vahvaa tunnistamista, johon yhdistetään maksutapahtuman määrä ja maksunsaaja maksupalveluista sisämarkkinoilla, direktiivien 2002/65, EY, 2009/110/EY ja 2013/36/EU ja asetuksen (EU) N:o 1093/2010 muuttamisesta sekä direktiivin 2007/64/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366, jäljempänä maksupalveludirektiivi, 97 artiklan 2 kohdassa tarkoitetulla tavalla.
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
Edellä 1 ja 2 momentissa tarkoitetun vahvan tunnistamisen sekä 3 momentissa tarkoitettujen turvatoimenpiteiden on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa.
Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.
Komission delegoidun asetuksen (EU) 2018/389 24 artiklan mukaan
Yhdistäminen maksupalvelunkäyttäjään
1. Maksupalveluntarjoajien on varmistettava, että henkilökohtaiset turvatunnukset, tunnistamislaitteet ja -ohjelmistot yhdistetään suojatulla tavalla ainoastaan maksupalvelunkäyttäjään.
2. Sovellettaessa 1 kohtaa maksupalveluntarjoajien on varmistettava, että kaikki seuraavat vaatimukset täyttyvät:
a) maksupalvelunkäyttäjän henkilöllisyyden yhdistäminen henkilökohtaisiin turvatunnuksiin, tunnistamislaitteisiin ja -ohjelmistoihin toteutetaan maksupalveluntarjoajan vastuulla suojatuissa ympäristöissä, jotka käsittävät ainakin maksupalveluntarjoajan toimitilat, sen tarjoaman internetympäristön tai muut vastaavat sen käyttämät suojatut verkkosivustot ja sen pankkiautomaattipalvelut, ottaen huomioon riskit, jotka liittyvät yhdistämisprosessin aikana käytettäviin laitteisiin ja peruskomponentteihin, jotka eivät ole maksupalveluntarjoajan vastuulla;
b) maksupalvelunkäyttäjän henkilöllisyyden yhdistäminen henkilökohtaisiin turvatunnuksiin ja tunnistamislaitteisiin ja -ohjelmistoihin etäkanavan välityksellä suoritetaan käyttämällä asiakkaan vahvaa tunnistamista.
Asian arviointi
Tapahtumienkulku
Pankki on esittänyt tapauksessa järjestelmätietoihinsa perustuvan teknisen selvityksen tapahtumista ja siitä, miten rikolliset ovat kirjautuneet asiakkaan verkkopankkiin ja liittäneet asiakkaan kortit GooglePay-palveluun, jota käyttäen ko. riidanalaiset oikeudettomat korttimaksut on tehty. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.
Pankkilautakunta katsoo asiassa esitetyn selvityksen perusteella todennäköiseksi, että kun asiakkaan tarkoituksena on ollut mennä verkkopankkiinsa, on hän asiaa huomaamatta - ja nyt epäselväksi jääneellä tavalla mutta mahdollisesti hakukoneen käyttämisen seurauksena - päätynyt rikollisten luomille pankin verkkosivuja muistuttaville valesivuille. Kun asiakas on luullut vahvistavansa tunnistussovelluksellaan omaa kirjautumistaan verkkopankkiinsa, on hän tosiasiassa vahvistanut rikollisten kirjautumisen omaan mobiilipankkiinsa.
Pankin selvityksen mukaan asiakas on samaan aikaan itse kirjautunut verkkopankkiinsa. Pankkilautakunta pitääkin mahdollisena, että pankin verkkosivuilta näyttäneet valesivut ovat ohjanneet asiakkaan eteenpäin pankin oikeille sivuille sen jälkeen kun rikolliset ovat saaneet tavoittelemansa ja päässeet kirjautumaan asiakkaan mobiilipankkiin.
Pankin selvityksen mukaan Google Pay -palvelun käyttöönotto asiakkaan korttitiedoin ei ole edellyttänyt asiakkaan korttitietoja ja on tapahtunut siten, että tekijä on painanut asiakkaan mobiilipankissa "Lisää kortti GooglePayhin." -painiketta ja on tämän jälkeen valinnut maksutapaan liitettävän kortin. Käyttöehtojen hyväksymisen jälkeen maksutapa on ollut valmis käytettäväksi. Erillistä vahvistusta pankki ei ole edellyttänyt.
Vahvan tunnistamisen edellyttäminen
Maksupalvelulain 8 §:ssä määritetään, mitä laissa tarkoitetaan vahvalla tunnistamisella, jota lain 85 b § edellyttää palveluntarjoajan käyttävän, jos maksaja käyttää maksutiliään tietoverkon välityksellä tai toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski. Edelleen lain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Pankkilautakunta katsoo tapauksessa riidattomaksi, että otettaessa käyttöön GooglePay-maksutapaa asiakkaan korttien tiedoilla, pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista. Pankin mukaan erillistä vahvistusta ei ole edellytetty, koska asiakkaan tunnistaminen on tehty jo mobiilipankkiin kirjautuessa.
Pankkilautakunta toteaa selvyyden vuoksi, että vaikka pankin mobiilipankkiin tai verkkopankkiin kirjauduttaisiin vahvaa tunnistamista edellyttäen, ei sieltä pitäisi olla maksupalveluja koskevan sääntelyn puitteissa mahdollista tehdä maksuja ulkopuolisille ilman vahvaa tunnistamista vaan pankin olisi maksupalvelulain 85 c §:n 1 momentin 1 kohdan mukaan edellytettävä maksajan vahvaa tunnistamista. Mikäli pankki laiminlöisi velvollisuutensa edellyttää maksajan vahvaa tunnistamista, ei maksupalvelun käyttäjä lain 62 §:n 3 momentin 4 kohdan mukaan vastaisi maksuvälineensä oikeudettomasta käytöstä.
Tässä tapauksessa ei ole kyse edellä todetusta, vaan siitä, että pankki on sallinut mobiilipankissa otettavan ilman erillistä vahvaa tunnistamista käyttöön uuden korttipohjaisen maksutavan, jota käyttäen maksutavan käyttöönsä saanut on voinut tämän jälkeen tehdä asiakkaan korttitiedoin korttimaksuja teknisesti vahvaa tunnistamista edellyttäen, mutta tosiasiassa ilman todellisen maksajan eli asiakkaan vahvaa tunnistamista.
Pankkilautakunta katsoo, että Google Pay -palvelun käyttöönotto korttitiedoilla on maksupalvelulain 85 c §:n 1 momentin 3 kohdassa tarkoitettu etäkanavan kautta toteutettu toimi, johon liittyy väärinkäytöksen riski ja jonka yhteydessä pankin olisi käytettävä vahvaa tunnistamista. Koska pankki ei Google Pay -palvelua käyttöönotettaessa ole edellyttänyt vahvaa tunnistamista, katsoo Pankkilautakunta pankin laiminlyöneen maksupalvelulain 85 c §:n mukaisia velvollisuuksiaan.
Edelleen lautakunta katsoo, että mahdollistaessaan Google Pay -palvelun käyttöönoton asiakkaan korttitiedoilla ilman vahvaa tunnistamista vastoin maksupalvelulain 85 c §:n 1 momentin 3 kohtaa pankki on käytännössä mahdollistanut myös ko. maksutapahtumien tekemisen vastoin saman lainkohdan 1 kohtaa ilman todellisen asiakkaansa ja maksupalvelun käyttäjän vahvaa tunnistamista. Maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan asiakas ei tällöin vastaa maksuvälineensä oikeudettomasta käytöstä.
Lopputulos
Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki korvaa asiakkaalle asiakkaan kortin oikeudettomasta käytöstä aiheutuneen vahingon täysimääräisesti.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet
Atrila
Piilo
Punakivi
Tervonen