Haku

FINE-70569-Q4H6G

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-70569-Q4H6G (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 18.12.2025

Miten vastuu asiakkaan verkkopankissa ulkomaille tehdyistä oikeudettomista tilisiirrosta jakautuu asiakkaan ja pankin välillä? Miten vastuunjakoon vaikuttaa se, että asiakkaan käytössä olevien tilien välillä on ennen ulkopuoliselle tehtyä maksua tehty tilisiirto, jonka yhteydessä ei ole edellytetty vahvaa tunnistamista? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus. Sisäiset siirrot. Vahva tunnistaminen.

Tapahtumatiedot

Asiakas on saanut 31.7.2024 klo 16.05 rikollisten Kelan nimissä lähettämän tekstiviestin, jossa olleen linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on käyttänyt pankkitunnuksiaan kirjautumistarkoituksessa.

Tämän jälkeen klo 18.06 asiakas sai rikollisten pankin nimissä tekemän puhelun. Asiakkaalle kerrottiin tilille kohdistetusta hyökkäyksestä, jonka johdosta asiakkaan varat olisi siirrettävä pankin suojatulle tilille. Asiakas sai pankilta klo 18.23 maksunvahvistamista koskevan tekstiviestin, joka koski 15.560,30 euron tilisiirtoa ja jossa pyydetyn luvun avainlukulistastaan asiakas syötti valesivuille.

Asiakas sai klo 18.38 uuden puhelun pankin nimissä ja klo 18.47 uuden 4.625,20 euron suuruisen maksun vahvistamista koskevan tekstiviestin pankiltaan.

Tililtä, jonka yhteisomistaja asiakas on, oli tehty kaksi oikeudetonta tilisiirtoa ulkomaille, 15.560,30 euroa klo 18.24 ja 4.625,20 euroa klo 18.48. Em. maksutapahtumien välissä rikolliset ovat tehneet klo 18.41 asiakkaan verkkopankissa em. yhteisomistetulle tilille kaksi sisäistä siirtoa, 2.950,00 euron siirron asiakkaan korttiluotolta ja 1.820 euron siirron asiakkaan tililtä. Näiden sisäisten siirtojen yhteydessä pankki ei ole edellyttänyt vahvaa tunnistamista.

Asiakas on ollut yhteydessä pankkiin ja asiakaan tunnukset on suljettu 1.8.2024 klo 09.01. Asiakkaalle on aiheutunut 31.7.2024 tehdyistä siirroista yhteensä 20.185,50 euron vahinko.

Asiakkaan valitus

Asiakas katsoo, ettei hänen toimintansa ole ollut törkeän huolimatonta, ja vaatii, että pankki ottaa vastatakseen 20.135,50 euron vahingon ja asiakkaan vastuu jää 50 euroon. Kyseinen tapaus rinnastuu täysin Itä-Suomen hovioikeuden päätökseen 13.11.2024.

Huijaus onnistui, koska asiakas ei ollut sairautensa ja lääkityksen takia tilassa, jossa hän olisi voinut huomata, että kyseessä on huijaus. Asiakas on 68-vuotias matalasti koulutettu, kielitaidoton nainen. Hänellä on sairauksien takia jatkuva lääkitys. Hän ei siis ollut lähelläkään normaalia olotilaa vaan kaiken aikaa unenomaisessa tilassa. Tämä olotila aiheutti myös sen, että hän ei tajunnut kyseessä olevan huijaus vaan toimi hyvässä uskossa.

Kaikki seuraavassa mainitut tiedot ja ajat on saatu asiakkaan puhelimesta, hänellä itsellään ei ole tarkkaa mielikuvaa tapahtumista.

31.7.2024 klo 16.05 asiakkaan puhelimeen tuli tekstiviesti OmaKela-Fi-nimiseltä lähettäjältä: "Hoitakaa viivästynyt perintä odottamatta. Jatkakaa tästä palveluun: suomivahvista.com tämän suorittamiseksi". Asiakas ajatteli, että Kela on perimässä hänelle maksettuja korvauksia takaisin ja klikkasi linkkiä, josta avautui suomi.fi-sivuston kaltainen sivusto, jossa oli yleisimpien Suomessa käytössä olevien pankkien logoilla varustetut aidonnäköiset kirjautumissivut. Asiakas syötti käyttäjätunnuksen ja salasanansa, jolloin huijarit pääsivät hänen verkkopankkinäkymään.

Klo 18.06 tuntemattomasta numerosta soitti asiakkaalle hyvin suomea puhuva miesääni esittäytyen pankin virkailijana ja kertoen, että asiakkaan käytössä olevalle maatilayhtymän tilille on kohdistettu hyökkäys ja varat on siirrettävä pankin suojatulle tilille. Väsyttävät lääkkeet yhdessä matalan verensokerin kanssa aiheuttivat sen, että asiakas oli puoliksi unenkaltaisessa tilassa ja helposti johdateltavissa. Soittaja kyseli asiakkaalta puhelinnumeroa, henkilötunnusta ja muita tietoja ja odotteli välillä pitkiä hetkiä kertoen, että joutuu varmistamaan, että soittaja on varmasti oikean henkilön kanssa tekemisissä. Puhelun päätyttyä asiakkaan puhelimen pankin tekstiviestiketjuun on tullut varmistusviesti, jossa kysytään 15.560,30 euron siirtoa varten avainlukulistan numeroa. Asiakas syötti avainluvun aivan kuten aiemminkin on tehnyt pankin verkkomaksujen kanssa.

Klo 18.38 tuntematon numero soitti uudelleen ja kertoi, että toisellekin asiakkaan käytössä olevalle tilille on kohdistettu hyökkäys. Puhelu kesti 10 min ja sen päätyttyä pankin viestiketjuun on tullut uusi tekstiviesti, jossa pyydetään avainlukulistan numeroa 4.625,20 euron suuruiselle pankkisiirrolle. Asiakas syötti avainluvun, jotta varat saadaan siirrettyä turvatulle tilille.

1.8.2024 aamulla yhtymän osakas X huomasi, että yhtymän tililtä oli siirretty rahat. Asiasta käytyjen keskustelujen jälkeen tultiin siihen tulokseen, että asiakkaan saamat soitot olivat huijausta. Tilit suljettiin välittömästi ja tehtiin rikosilmoitus.

Asiakkaan puhelin varoittaa mahdollisista huijaussoitoista, mutta tässä tapauksessa molempien puhelujen soittaja oli tuntematon numero. Asiakas luotti tähän, koska myös poliisi soittaa tuntemattomasta numerosta. Asiakas luuli olevansa tekemisissä pankin kanssa, koska avainlukulistan koodia pyytävät tekstiviestit tulivat samaan pankin viestiketjuun, kuten kaikki aikaisemmatkin pankin varmistusviestit.

Asiakkaalla ei ollut käsitystä että, IBAN-tunnuksen perusteella pystyy päättelemään, että kysymyksessä on ulkomainen pankkitili. Hän luuli siirtävänsä rahat suomalaiselle pankkitilille. Suomivahvista.com-sivusto oli https://-alkuinen, jolloin asiakkaalle ei tullut selaimessa varoitusta, että kyseessä olisi suojaamaton yhteys, ja jotain olisi vialla.

Edellä mainittujen seikkojen perusteella ei asiakkaan toimintaa voi pitää törkeän huolimattomana, vaan kyseessä on ammattimaisesti järjestetty huijaus, jossa on hyväksikäytetty uhrin sairauden ja lääkityksen vuoksi heikentynyttä kognitiivista toimintakykyä ja luotu kiireellisyyden tunteella paniikki, jolloin uhri on voitu manipuloida toimimaan oman etunsa vastaisesti. Asiakkaalta ei voida edellyttää samanlaista huolellisuuden astetta kuin esimerkiksi keski-ikäiseltä, hyvät digi- tietoturvataidot omaavalta henkilöltä.

Koko tapahtumaketju oli todella hoidettu tarkan ja ammattimaisesti hoidetun suunnitelman mukaan ja varmasti huomattiin puhelimessakin asiakkaan tila, koska huijausta jatkettiin uudelleen vielä puolen tunnin kuluttua siirtämällä asiakkaan omat varat sekä Visa-luotto maatilayhtymän tilille, josta ne sitten taas siirrettiin ulkomaille. Tilanne ei rinnastu sellaisiin tapauksiin, joissa pankkipalveluiden käyttäjä on oman huolimattomuutensa johdosta kiireettömässä tilanteessa päätynyt esimerkiksi hakukoneiden kautta valepankin sivuille. Kysymys ei ole ollut myöskään kömpelöstä verkkohuijauksesta, jonka tyypillinen pankkipalveluiden käyttäjä ensi näkemältä ymmärtäisi huijaukseksi, vaan huijaus on ollut ammattimaisesti ja taitavasti toteutettu.

Asiakas ei ole näppäillyt pankkitunnuksiaan (tunnusluku ja salasana) kirjautuessaan pankin järjestelmään, vaan huijareiden OmaKela.fi-nimisen lähettäjän tekstiviestistä avautuneelle Suomi.fi-sivustoa erehdyttävästi muistuttavalle valesivustolle. Täten uhri ei ole sopimusehtojen mukaisella tavalla tunnistautunut pankin järjestelmään, eikä ole näin ollen itse antanut suostumusta tilisiirtojen suorittamiseksi. Uhri luuli asioivansa Kelan sivustolla ja oli tässä tarkoituksessa käyttänyt pankkitunnuksiaan.

Asiakas katsoo, että maksutapahtuman luominen ja tuon tahdon erillinen vahvistaminen täytyy nähdä kokonaisuutena, josta maksajan tahdonilmaisu eli hyväksyntä maksutapahtumalle yhdessä muodostuvat. Täten maksun vahvistusta avainluvun järjestysnumero syöttämällä tule katsoa yksittäisenä tapahtumana, jolla olisi asiassa määräävä merkitys. Petoksen onnistuminen on seurausta uhrin aktiivisesta erehdyttämisestä. Kumpaakaan maksutapahtumaa ei olisi ollut, jos rikolliset eivät olisi ensin tehneet tilien välisiä siirtoja uhrin verkkopankissa ja sitten luoneet kyseessä olevia maksutapahtumia, samalla kun erehdyttivät puhelimessa uhria luulemaan, että kyseessä on tileillä olevien varojen siirtäminen turvaan. Tilisiirtoa koskeva maksajan tahdonilmaisu on kaksivaiheinen, eli maksutapahtumat on ensin pitänyt luoda verkkopankissa ja sen jälkeen maksut on pitänyt vahvistaa. Uhri ei ole luonut maksutapahtumia, tilisiirtoa maatilayhtymän tilille eikä ole edes ollut niistä tietoinen. Uhri osallistui ainoastaan maksutapahtumien vahvistamiseen tietämättä niiden todellista merkitystä. Koska uhrin suostumus ei ole ollut tietoinen eikä hän ole edes ymmärtänyt toimensa oikeudellista merkitystä syöttäessään maksun vahvistamiseen tarvittavat avainluvut, ei kyseessä ole maksupalvelulain 38 § 1 momentissa tarkoitettu suostumus. Näin ollen asiakas katsoo että maksutapahtumat ovat oikeudettomia ja palveluntarjoajana oleva pankki on vastuussa siitä aiheutuneesta vahingosta.

Maksupalvelulain 62 §:n mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle (HE 169/2009 vp). Uhri oli asiointinsa ajan ja pankkitunnuksiaan tunnistussivuilta näyttäneillä valesivuilla käyttäessään luullut asioivansa pankkinsa kanssa, ja näin ollen hän ei ollut tietoisesti luovuttanut pankkitunnustietojaan niiden käyttöön oikeudettomalle. Näin ollen asiassa ei ole kysymys laissa tai pankkitunnusehdoissa tarkoitetusta tunnusten luovuttamisesta.

On myös syytä miettiä, mikä on pankin vastuu, kun asiakas, joka ei käytä juuri lainkaan Visaa, yhtäkkiä nostaa koko luoton maksimimäärän ja siirtää sen saman tien Maatilayhtymän tilille, josta ne välittömästi siirretään pois.  Pankkiohjelmien olisi pitänyt reagoida, kun asiakas, jonka suurin säännöllinen meno on 300 euron suuruusluokkaa oleva yhtiövastike ja joka ei ole koskaan tehnyt verkkomaksuja ulkomaille, tekee yhtäkkiä poikkeuksellisia maksuja, tai kun maatilayhtymän yksi jäsen siirtää kerralla kaikki tilillä olevat varat ulkomaille, jonne maatilayhtymällä ei ikinä ole ollut maksuliikennettä.

Tilisiirtojen osalta asiakas katsoo, että pankin lähettämien vahvistustekstiviestien antama informaatio ei ollut riittävä. Pankki olisi voinut vahvistusviestissään mainita, että rahat ovat siirtymässä ulkomaille ja mainita myös saajan nimen. Tämä olisi ollut jo riittävä varoitus, että kyseessä ei ole pankin tili. Pankki olisi voinut lähettää varmistusviestin, kun pankkitilin nostorajoja on muokattu. Pelkästään kotimaanmaksujen asettaminen tilien oletusarvoiksi, olisi estänyt tilisiirrot ulkomaille. Pankki olisi voinut myös estää siirrot ulkomaille tai viivyttää siirtoa ottaen huomioon, että tilisiirrot olivat erittäin poikkeuksellisia. Jos pankki olisi menetellyt näin, uhrin reklamaatio olisi estänyt tilisiirron tapahtumisen. Pankilla on sopimusehtojen mukaan varsin laajat mahdollisuudet rajoittaa pankkitunnusten käyttöä ja keskeyttää satunnainen tapahtuma.

Pankki on mahdollistanut asiakkaan koko Visa-luoton siirtämisen tilille, sekä uhrin koko pankkitilin siirtämisen maatilayhtymän tilille ilman vahvaa tunnistautumista, ja tämä vaikutti olennaisesti syntyneen vahingon suuruuteen. Koska pankki tässä tapauksessa on sallinut oikeudettomat tilisiirrot asiakkaan tilien välillä ilman minkäänlaista tunnistautumista, vastaa pankki näistä tilisiirroista, joilla vahingon määrä on lisääntynyt.

Jos pankilla olisi ollut käytössä varmennus, jossa olisi kerrottu, että asiakkaan henkilökohtaiselta käyttötililtä ollaan siirtämässä varoja maatilayhtymän tilille, jo pelkästään tämä ilmoitus olisi yksinään herättänyt asiakkaan epäluulon ja estänyt huijauksen onnistumisen. Sama koskee Visalta tehtyä siirtoa.

Pankin vastine

Pankki katsoo ensisijaisesti, että asiakas on antanut maksuille maksupalvelulain mukaisen suostumuksen eikä kysymys ole siten oikeudettomasta maksutapahtumasta. Toissijaisesti, tapaukseen liittyvät yksityiskohdat ja kokonaisarviointi huomioon ottaen, pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti. Pankki katsoo, ettei ole korvausvelvollinen aiheutuneesta vahingosta.

Selvitys tapahtumasta

Pankin käsityksen mukaan asiakas on syöttänyt linkistä avaamalleen huijaussivustolle kaikki pankkitunnuksensa osat (käyttäjätunnus, salasana ja vaihtuva avainluku asiakkaalla fyysisesti hallussa olevasta avainlukulistasta, jota on pyydetty tekstiviestillä). Jotta maksut on voitu tehdä, on maksun tehneellä taholla pitänyt olla hallussaan kaikki tunnuksen osat. Lisäksi kahdesta ulkopuolisille menevistä maksuista on lähetetty vielä vahvistustekstiviestit, jotka ovat vahvistettu avainlukulistan numeroilla. Pankin selvityksen mukaan asiakkaan käytössä olleilta tililtä on tehty kaksi siirtoa ja aiheutuneen vahingon määrä on 20.185,50 euroa. Tilinkäyttörajoja ei ole muutettu, käteisnostoraja on ollut 10.000 euroa tilin avaamisesta lähtien. Kyseisissä tileissä ei ole ollut maksuja estäviä rajoituksia huijauksen tapahtumahetkellä. Rajoituksia on tehty vasta tapahtuman jälkeen.

Koskien sisäistä tilisiirtoa ja visa-luotolta nostamista, kyseiset omat varat ovat olleet asiakkaan hallinnassa ja määräysvallassa siihen asti, kun hän on antanut maksupalvelulain mukaisesti suostumuksensa varojen siirtämiselle ulkopuoliselle. Siten nämä siirrot eivät ole pankin näkemyksen mukaan lisänneet vahingon määrää eikä pankki katso, että se on näistä sisäisistä siirroista korvausvelvollinen.

Tilisiirrot on tehty vahvasti sähköisesti tunnistautuneena ja maksuista on lähetetty asiakkaalle tekstiviestitse lisävahvistuspyynnöt hänen pankkitunnuksiinsa liitettyyn lisävahvistusnumeroonsa. Maksunvahvistuspyyntöjä on ollut yhteensä kaksi, jotka on vahvistettu avainlukulistan numeroilla. Avainluku on mahdollista antaa vain asiakkaan hallussa olevasta paperisesta avainlukulistasta.

Nimenomaan turvallisuussyistä pankki on lähettänyt asiakkaan tunnuksiin liitettyyn puhelinnumeroon 31.7.2024 seuraavat vahvistustekstiviestit klo 18.23.32 ja 18.47.08:
”Olet maksamassa palvelussamme 15 560,30 EUR tilille BE81 xxxx xxxx xxxx. Vahvista maksu avainlukulistan 192. avainluvulla. [Pankki]” ja
”Olet maksamassa palvelussamme 1 maksua yhteensä 4 625,20 EUR. Tarkista maksujen tiedot ja vahvista maksut avainlukulistan 68. avainluvulla. [Pankki]”

Asiakas on ollut tilanteen huomattuaan yhteydessä pankkiin ja asiakaan tunnukset on suljettu 1.8.2024 klo 09.01.

Asian arviointi

Ensisijaisesti kyseessä on maksupalvelulain mukainen suostumus maksutapahtumille

Asiakas on antanut maksupalvelulain mukaisesti suostumuksensa maksuille. Pankki on asiakkaan kanssa sovitun mukaisesti toimittanut asiakkaalle maksujen vahvistuspyynnöt hänen henkilökohtaisessa käytössään ja tunnuksiin liitettyyn puhelinnumeroon tekstiviestillä. Pyynnöt ovat sisältäneet tiedot maksujen määristä ja saajien tilinumeroista. Vahvistuspyynnöissä maksut on pyydetty vahvistamaan avainlukulistalla. Viestit ovat alkaneet sanoilla "Olet maksamassa", joten viestien sisältö on ollut selkeä ja yksiselitteinen.

Hyväksymällä maksut tekstiviesteissä pyydetyillä vaihtuvilla avainluvuilla asiakas on antanut maksupalvelulain 38 §:n mukaiset suostumukset maksuille, eikä kysymys ole oikeudettomasta käytöstä.

Toissijaisesti kyseessä on tunnuksen haltijan törkeä huolimattomuus

Pankki on useaan otteeseen vuoden 2024 aikana varoittanut asiakkaitaan tietojenkalastelusta. Pankki katsoo yleisen tietämyksen ja pankin antamien ohjeiden ja varoitusten perusteella, että asiakkaan tulisi olla tietoinen tunnusten turvallisesta käytöstä.

Pankki on kieltänyt asiakkaitaan kirjautumasta linkin kautta palveluihinsa tunnus- ja digisopimuksessa, sopimuksen tekemisen sekä ehtomuutosten yhteydessä annettavana Tärkeää tietoa [pankin] tunnuksistasi -asiakirjalla sekä muutoinkin viestinnässään.

Tässä tapauksessa asiakas on saanut tekstiviestillä linkin, josta avautuneelle sivulle hän on sopimusehtojen vastaisesti kirjautunut pankkitunnuksillaan. Tämän jälkeen asiakas on saanut kaksi vahvistuspyyntöä maksuille, joita hän ei ole itse käynnistänyt. Asiakas on luovuttanut vahvistuspyyntöjen mukaiset avainluvut maksut käynnistäneelle taholle.

Kun otetaan huomioon edellä kuvatut yksityiskohdat; kirjautuminen tekstiviestillä tulleen linkin kautta ja maksujen vahvistaminen vaihtuvilla avainluvuilla, pankki katsoo asiakkaan toimineen kokonaisuutena arvioiden törkeän huolimattomasti. Maksujen vahvistaminen osoittaa, että asiakas ei joko lukenut hänelle lähetettyjä viestejä tai on jättänyt ne kokonaan huomiotta. Maksupalvelulain mukaisesti olennaista on asiakkaan oma toiminta; suostumuksen antaminen tai törkeä huolimattomuus johtavat siihen, että vastuu oikeudettomista maksuista on asiakkaalla. Pankin viestit ovat olleet yksiselitteisiä ja informatiivisia, viestit ovat alkaneet sanoilla "olet maksamassa" sekä sisältäneet tiedon maksun määrästä ja saajan ulkomaisesta tilinumerosta tai kehotuksen tarkastaa maksu. Näin ollen pankki ei ole asiassa korvausvelvollinen, vaan korvaushakemuksen kohteena oleva oikeudeton käyttö jää kokonaisuudessaan asiakkaan omalle vastuulle. Asiakkaan esittämä selvitys terveydentilastaan ja lääkityksestä ei anna aihetta arvioida asiaa toisin. Pankilla ei ole ollut tietoa asiakkaan voinnista tai mahdollisesti muuttuneista olosuhteista ja asiakkaan olisi tullut itse pidättäytyä pankkiasioiden hoidosta, jos kokee, ettei oma vointi sitä salli. Huolimattomuutta arvioidaan maksupalvelulain mukaisesti ja jos asiakas ei ole kokenut kykenevänsä huolehtimaan tunnuksistaan sairauden vuoksi, olisi tunnukset tullut sulkea, eikä niitä olisi tullut käyttää lainkaan.

Perusteet asian oikeudelliseen arviointiin

Pankki viittaa maksupalvelulain 38 §:n 1 momenttiin, 53 §:n 1 momenttiin mukaan ja 62 §:än sekä pankin tunnus- ja digisopimuksen ehtoihin ja asiakkaalle on tunnus- ja digisopimuksen tekemisen yhteydessä annettuun Tärkeää tietoa [pankin] tunnuksistasi -nimiseen asiakirjaan.

Väärinkäytösten ehkäisemiseksi pankki on aktiivisesti varoittanut asiakkaitaan verkkopalvelutunnusten kalastelukampanjoista tiedotteilla verkkosivuillaan muun muassa 4.7.2024, 7.5.2024 ja 15.3.2024. Pankki on ohjeistanut asiakkaitaan olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjautua sähköpostitse tulleen linkin kautta. Lisäksi pankki on ohjeistanut, että kirjauduttaessa verkkopankkiin, tulee kirjoittaa verkkopankin osoite (www.[pankki].fi) selainriville itse tai käyttää tallennettua kirjanmerkkiä. Jos mahdollista, asiointiin on suositeltu käytettävän pankin mobiili-sovellusta.

Selvitykset

Valitus koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Yleislääketieteen erikoislääkärin vapaamuotoinen lausunto 15.11.2024
- Pankin tunnus- ja digisopimuksen ehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. tilisiirroille vai onko tilisiirtoja pidettävä oikeudettomina. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on lautakunnan arvioitava, voidaanko asiakkaan katsoa luovuttaneen maksuvälineensä sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla tai voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on. Edelleen lautakunnan on arvioitava, vaikuttaako asiakkaan ja pankin välisen vastuunjakoon se, että pankki ei ole edellyttänyt vahvaa tunnistamista verkkopankin sisäisten siirtojen yhteydessä.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 8 §:n (Määritelmät.) mukaan
Tässä laissa tarkoitetaan:
[…]
24) vahvalla tunnistamisella maksupalvelun käyttäjän sähköistä tunnistamista, jossa suojataan tunnistamistiedon luottamuksellisuutta ja käytetään menettelyä, joka perustuu vähintään kahteen seuraavista kolmesta toisistaan riippumattomasta vaihtoehdosta:
a) johonkin, mitä vain maksupalvelun käyttäjä tietää;
b) johonkin, mitä vain maksupalvelun käyttäjällä on hallussaan;
c) maksupalvelun käyttäjän yksilöivään ominaisuuteen;
[…]

Maksupalvelulain 38 §:n 1 momentin mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Lain 72 §:n 1 ja 3 momentin mukaan
Jos maksupalvelun käyttäjä kiistää antaneensa suostumuksensa maksutapahtuman toteuttamiseen, hänen palveluntarjoajansa on osoitettava, että suostumus on annettu sovitulla tavalla. Jos maksupalvelun käyttäjä väittää, että maksutapahtumaa ei ole toteutettu asianmukaisesti, palveluntarjoajan on osoitettava, että maksutapahtuma on kirjattu ja merkitty tileille oikein ja ettei maksutapahtuman käsittelyyn ole vaikuttanut tekninen vika tai muu häiriö.
[…]
Se seikka, että palveluntarjoaja voi näyttää, että suostumus maksutapahtuman toteuttamiseen on annettu maksuvälineellä, ei välttämättä yksin riitä osoittamaan, että maksuvälineen haltija on antanut suostumuksensa maksutapahtuman toteuttamiseen, toiminut petollisesti taikka laiminlyönyt tahallisesti tai törkeän huolimattomasti 53 ja 54 §:ssä säädettyjä velvollisuuksiaan.

Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 5 momenttien mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1) käyttää maksutiliään tietoverkon välityksellä;
2) käynnistää sähköisen maksutapahtuman;
3) toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
[…]
Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.

Pankin tunnus- ja digisopimuksen ehtojen (Pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Tunnusten säilyttämistä ja sallitun käytön rajoitukset -kohdan mukaan
Sinulle luovutettu tunnus on henkilökohtainen. Tunnusta tai osaakaan siitä ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos annat tunnuksen kolmannelle, vastaat kolmannen nimissäsi tekemistä toimista.
Tunnuksilla ei saa tunnistautua palveluihin, joita tarjoaa tai jossa määräysvaltaa käyttää kansainvälisten pakotteiden kohteena oleva taho. Tunnuksia ei saa myöskään käyttää lain tai hyvän tavan vastaisiin tarkoituksiin taikka muuten [pankin] julkaisemien yhteiskuntavastuuvaatimusten vastaisella tavalla.
Tunnusta tai osaa niistä et koskaan saa:
- kertoa suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessasi [pankin] puhelinpalveluun näppäilet tunnuksen omaan puhelimeesi, samoin näppäilet tunnuksen puhelimeesi, jos haluat varmentaa sinulle tulevan puhelun olevan [pankin] soittama;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille.;
- antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella etkä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.
- Käyttäjätunnuksen ja salasanan sisältävä kalvo tai muu, jolla tunnuksen osat on luovutettu, on hävitettävä eikä käyttäjätunnusta tai salasanaa saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon. Jos Tunnukset on luovutettu sähköisesti, sinun tulee itse suojata tunnukset ja varmistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisille ja, että tiedot eivät jää ulkopuolisten saatavilla.
Sinun tulee säilyttää tunnustasi ja sen osia huolellisesti ja erillään toisistaan siten, ettei kenelläkään ulkopuolella, ei edes samaan perheeseen kuuluvalla tai niiden käyttöön oikeudettomalla yrityksen työntekijällä ole mahdollisuutta saada niitä tietoonsa. Tunnuksen osia ei saa säilyttää samassa säilytyspaikassa kotona, eikä esimerkiksi lompakossa tai käsilaukussa.
Sinun on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että Tunnus ja sen osat ovat tallessa.
Sinun tulee kirjautuessasi [pankin] digitaalisiin palveluihin suojata laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla tunnusta käytetään siten, ettei kenelläkään ole mahdollisuutta saada tunnusta tai sen osia tietoonsa.
[pankin] digitaalisia palveluita ei saa käyttää tietokoneella tai muulla laitteella, jossa on havaittu tai epäillään olevan haittaohjelma. Et saa myöskään luovuttaa tietokoneesi tai muun laitteesi etäkäyttöä ulkopuolisille, kun käytät laitteella tunnustasi tai sen osia.

Pankkitunnusehtojen Sinun tulee ilmoittaa tunnuksen katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan
Sinun on välittömästi ilmoitettava [pankille] tunnuksen tai sen osan katoamisesta tai joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka, jos epäilet niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun.
Voit tehdä ilmoituksen puhelimitse [pankin] osoitteessa [pankki].fi ilmoitettuun sulkupalvelun puhelinnumeroon (24h/7vrk). [Pankin] asiakaspalvelun aukioloaikana ilmoituksen voi tehdä myös puhelimitse [pankin] ilmoittamaan puhelinnumeroon tai asioimalla henkilökohtaisesti [pankin] toimipaikoissa.
Pankin hyväksymien muiden tunnistusvälineiden ja varmanteiden osalta ilmoitus katoamisesta tehdään tunnistusvälineen tai varmenteen käyttöehtojen mukaisesti.

Pankkitunnusehtojen Tunnusten käyttäminen -kohdan [pankin] digitaalisten palveluiden käyttö -alakohdan mukaan
Tunnistaudut esimerkiksi [pankin] digitaaliseen palveluun näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta eli eri kanavissa sinulta vaadittavat tiedot voivat vaihdella.
[…]
Kirjaudut [pankki].fi-palveluun kirjoittamalla osoitteen [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun olet velvollinen tarkistamaan, että [pankki].fi-verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [pankki] Ryhmään kuuluvalle yhtiölle (esim. […]. SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Sinä et saa antaa [pankin] digitaalisten palveluiden käyttöä Kolmannelle osapuolelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [pankin] digitaalisissa palveluissa. Edellä sanottu ei rajoita oikeuttasi käyttää maksupalvelulain mukaisia toimiluvan saaneita maksutoimeksiantopalveluja tai rekisteröityjä tilitietopalveluja.

Pankkitunnusehtojen Maksutoimeksiannot -kohdan mukaan
Voit antaa pankille maksutoimeksiantoja [pankin] digitaalisissa palveluissa. […]
Maksut välitetään Euromaksualueella välitettävien euromaksujen tai Lähtevien ja saapuvien valuuttamaksujen yleisten ehtojen (Maksujen välityksen yleiset ehdot) mukaisesti. [Pankki] voi määritellä palvelun kautta välitettäville maksuille ylä- tai alarajan.
[Pankin] digitaalisiin palveluihin kirjautumisen jälkeen annat suostumuksesi maksutoimeksiannon toteuttamiseen hyväksymällä toimeksiannon. Tämä koskee myös Verkkomaksu-painiketta.
[…]

Asian arviointi

Tapahtumienkulku

Pankki on esittänyt asiassa teknisen selvityksen tapahtumista ja siitä, miten asiakkaan verkkopankkiin on kirjauduttu ja ko. ulkomaanmaksut vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin lokitietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo tapauksessa riidattomaksi, että asiakas on saanut KELAn nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on 31.7.2024 syöttänyt verkkopankkitunnuksiaan luullessaan kirjautuvansa KELAn palveluun.

Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla kirjautuneet omalla laitteellaan asiakkaan verkkopankkiin. Tässä yhteydessä pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista.

Rikolliset ovat soittaneet asiakkaalle pankin nimissä 31.7.2024 klo 18.06. Tämän puhelun aikana rikolliset ovat luoneet verkkopankissa maksutoimeksiannon, minkä seurauksena pankki on lähettänyt klo 18.23 asiakkaalle tekstiviestin:
”Olet maksamassa palvelussamme 15 560,30 EUR tilille BE81 xxxx xxxx xxxx. Vahvista maksu avainlukulistan 192. avainluvulla. [Pankki]”

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, että myös em. viestissä mainittu ja ko. tilisiirron toteuttamisen edellyttämä avainluku on päätynyt rikollisille siten, että asiakas on syöttänyt avainluvun valesivuille, minkä jälkeen rikolliset ovat voineet klo 18.24 vahvistaa ko. maksutoimeksiannon asiakkaan verkkopankissa.

Rikolliset ovat soittaneet asiakkaalle uudestaan pankin nimissä 31.7.2024 klo 18.38. Puhelun aikana klo 18.41 rikolliset ovat tehneet asiakkaan verkkopankissa em. yhteisomistetulle tilille 2.950,00 euron siirron asiakkaan korttiluotolta ja 1.820 euron siirron asiakkaan tililtä. Näiden sisäisten siirtojen yhteydessä pankki ei ole edellyttänyt vahvaa tunnistamista.

Tämän jälkeen rikolliset ovat luoneet verkkopankissa maksutoimeksiannon em. yhteisomistetulta tililtä, minkä seurauksena pankki on lähettänyt klo 18.47 asiakkaalle tekstiviestin:
”Olet maksamassa palvelussamme 1 maksua yhteensä 4 625,20 EUR. Tarkista maksujen tiedot ja vahvista maksut avainlukulistan 68. avainluvulla. [Pankki]”

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, että myös em. viestissä mainittu ja ko. tilisiirron toteuttamisen edellyttämä avainluku on päätynyt rikollisille siten, että asiakas on syöttänyt avainluvun valesivuille, minkä jälkeen rikolliset ovat voineet klo 18.48 vahvistaa ko. maksutoimeksiannon asiakkaan verkkopankissa.

Asiakkaan suostumus maksutapahtuman toteuttamiselle

Vaikka asiakkaan vastaanottamissa pankin lähettämissä tekstiviesteissä on näkynyt ko. maksujen tiedot, ei asiakas kuitenkaan itse ole syöttänyt viesteissä mainittuja avainlukuja verkkopankissaan vaan rikollisten luomilla valesivuilla. Ko. ulkomaanmaksuja koskevat toimeksiannot ovat luoneet ja vahvistukset niille antaneet edellä katsotuin tavoin asiakkaan verkkopankkiin omalla laitteellaan päässeet rikolliset, ja näin ollen Pankkilautakunta katsoo, ettei asiakas ole itse vahvistanut ko. tilisiirtoja eikä siten ole myöskään antanut maksupalvelulain 38 §:ssä tai pankkitunnusehdoissa tarkoitettua suostumustaan maksutoimeksiantojen toteuttamiselle. Näin ollen tilisiirtoja on pidettävä maksupalvelulaissa tarkoitetulla tavalla oikeudettomina.

Pankkitunnusten ja maksuvälineen luovuttaminen

Pankkilautakunta toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.

Tässä tapauksessa asiakas on asiointinsa ajan ja pankkitunnuksiaan aidoilta tunnistautumissivuilta tai verkkopankin verkkosivuilta näyttäneillä valesivuilla käyttäessään luullut ensin tunnistautuvansa viranomaisen palveluun ja tämän jälkeen asioivansa pankkinsa kanssa ja näin ollen Pankkilautakunta katsoo, että asiakas ei ole tietoisesti luovuttanut pankkitunnustietojaan niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai pankkitunnusehdoissa tarkoitetusta tunnusten luovuttamisesta.

Näin ollen Pankkilautakunnan arvioitavaksi jää, vastaako asiakas pankkitunnustensa oikeudettomasta käytöstä maksupalvelulain 62 §:n 1 momentin 2) kohdan perusteella, ts. lautakunnan on arvioitava, johtuuko pankkitunnusten oikeudeton käyttö siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.

Asiakkaan menettelyn arviointi

Asiakas on tapauksessa vedonnut siihen, että hän on ollut sairauksiensa ja lääkityksiensä johdosta helpommin rikollisten johdatettavissa, ja hän on näkemystään tukeakseen toimittanut lautakunnalle yleislääketieteen erikoislääkärin vapaamuotoisen lausunnon terveydentilastaan koskien huijauksen uhriksi joutumista. Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, ettei asiakkaan lääkitysten ja sairauksien voida katsoa vaikuttaneen asiakkaan toiminta- ja päätöksentekokykyyn olennaisella tavalla eivätkä ne siten myöskään vaikuta asiakkaan menettelyn ja mahdollisen huolimattomuuden asteen arviointiin asiassa.

Pankkitunnusehtojen mukaan tunnuksia ei saa koskaan luovuttaa tekstiviestillä tulleen pyynnön perusteella muille kuin pankin hyväksymille palveluille ja sovelluksille. Tunnuksia ei saa koskaan antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella eikä kirjautua pankin digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta. Edelleen ehtojen mukaan [pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville ja ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi-verkkosivusto on suojattu SSL-suojauksella.

Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla ja jätettyään tarkastamatta kyseisen verkkosivuston suojauksen.

Asiassa em. tekstiviestin sisällöstä saadun selvityksen perusteella lautakunta kuitenkin katsoo, ettei asiakkaan voida edellyttää ymmärtäneen hänelle lähetetyn tekstiviestin muotoilun ja sisällön perusteella, ettei tekstiviesti ollut KELAn lähettämä. Edelleen lautakunta katsoo, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta. Tässä lautakunta huomioi sen, että kertomansa perusteella asiakas on KELAn maksamien etuuksien saajana ajatellut, että KELA olisi perimässä hänelle maksettuja korvauksia takaisin.

Pankkilautakunta kiinnittää tässä erityistä huomiota myös siihen, että vaikka pankin pankkitunnusehtojen mukaan tunnuksia ei saa koskaan käyttää kirjautumiseen pankin verkkopalveluihin asiakkaalle digitaalisesti lähetetyn linkin kautta, lautakunnan tietojen mukaan pankki itse tai samaan yhtiöryhmään pankin kanssa kuuluvat toimijat ovat kuitenkin joissain tilanteissa voineet lähettää asiakkailleen tekstiviestejä, jotka ovat sisältäneet linkkejä pankin omille verkkosivuille. Vaikka tällaisissa tilanteissa linkin kautta avautuneilla sivuilla ei edellytettäisi pankkitunnuksien käyttämistä, voi tämä toimintatapa osaltaan vaikuttaa siihen, että pankin asiakkaat eivät ymmärrä kyseenalaistaa tämänkaltaisia tekstiviestitse tulleita yhteydenottoja ja niissä olevia linkkejä ja joutuvat alttiiksi tämäntyyppiselle rikollisuudelle. Edelleen lautakunta kiinnittää huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista viranomaisiin ja terveydenhuollon palveluihin sekä päivittäistavarakaupan toimijoihin lähettävät asiakkailleen asiointia koskevia ja linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa viranomaisen nimissä tulevan tekstiviestin asianmukaisuutta.

Ottaen edellä todetun lisäksi huomioon, että tekstiviestissä olleesta linkistä on avautunut asiakkaan kertoman mukaan tavanomaiset viranomaisen palvelun kirjautumissivut, jossa oli nähtävissä pankkien logot, ja asiakas on verkkosivujen näkymän perusteella luullut käyttävänsä tunnuksiaan niiden tavanomaisessa käyttötarkoituksessa kirjautuakseen viranomaisen palveluun, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

Pankkilautakunta kuitenkin katsoo, että saatuaan pian tämän jälkeen odottamattaan tuntemattomasta numerosta tulleen pankin nimissä soitetun puhelun, jossa kerrottiin maatilayhtymän tilille kohdistetusta hyökkäyksestä, asiakkaan olisi huolellisesti toimiessaan tullut noudattaa erityistä varovaisuutta. Erityisesti lautakunta katsoo, että asiakkaan olisi tullut ymmärtää kyseenalaistaa se, että pankki tarvitsisi asiakkaan apua soittajan kertoman mukaisen pankin havaitseman hyökkäyksen estämiseksi ja että se edellyttäisi varojen siirtämistä erityiselle turvatilille, mitä sitäkään pankki ei voisi ilman asiakkaan apua tehdä. Edelleen lautakunta katsoo, että viimeistään saatuaan tavanomaisen maksunvahvistamista koskevan tekstiviestin hänelle entuudestaan tuntemattomalle BE-alkuiselle tilille tehtävästä siirrosta asiakkaan olisi tullut jättää pyydetty avainluku syöttämättä linkin kautta avautuneille sivuille, keskeyttää asiointinsa ja päättää puhelu. Mikäli asiakas olisi näin toiminut ja tämän jälkeen esimerkiksi soittanut pankin asiakaspalveluun tiedustellakseen menettelyn asianmukaisuutta, olisi asiassa aiheutuneelta vahingolta voitu välttyä. Kokonaisuutena arvioiden Pankkilautakunta katsoo asiakkaan menettelyn poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnusten haltijan huolelliselta menettelyltä vaaditaan ja osoittavan siten maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Näin ollen asiakas lähtökohtaisesti vastaa tilisiirroista aiheutuneesta vahingosta pankin ja asiakkaan välisessä suhteessa.

Pankin menettelystä

Pankin velvollisuus estää maksutapahtumia

Asiakas on vedonnut tapauksessa myös siihen, että pankki olisi laiminlyönyt velvollisuuksiaan, kun pankin järjestelmät eivät ole havainneet ja estäneet yhtäkkistä ja poikkeuksellista maksuliikennettä.

Maksupalvelusääntelyn perusteella pankeilla on oltava käytössään maksutapahtumien valvontamekanismit, joiden avulla ne voivat havaita oikeudettomat ja petolliset maksutapahtumat. Pankkilautakunta on vakiintuneessa ratkaisukäytännössään tämän osalta todennut, että tällä velvollisuudella ei kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta. Pankkilautakunta katsoo näin ollen, ettei pankki ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa yksinomaan sillä perusteella, ettei se ole estänyt petollisiksi osoittautuneita maksuja.

Verkkopankin sisällä tehtyjen oikeudettomien maksujen tekeminen ilman vahvaa tunnistamista

Maksupalvelulain 8 §:ssä määritetään, mitä laissa tarkoitetaan vahvalla tunnistamisella, jota lain 85 c § edellyttää palveluntarjoajan käyttävän, jos maksaja käyttää maksutiliään tietoverkon välityksellä. Edelleen lain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Vahvan tunnistamisen on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin (EU) 2015/2366 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa (RTS). Komission delegoidun asetuksen (EU) 2018/389 III luvussa luetellaan asiakkaan vahvaa tunnistamista koskevan periaatteen poikkeukset.

Em. asetuksen III luvun 15 artiklan, joka koskee saman luonnollisen henkilön hallussa olevien tilien välisiä tilisiirtoja, mukaan on sallittavaa, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.

Asiassa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista siinä yhteydessä, kun rikolliset ovat tehneet asiakkaan verkkopankissa kahden yhteisomistetulta tililtä ulkomaille klo 18.24 ja 18.48 tehdyn maksun välissä em. yhteisomistetulle tilille klo 18.41 2.950,00 euron siirron asiakkaan korttiluotolta ja 1.820 euron siirron asiakkaan tililtä.

Pankkilautakunta toteaa maksupalveluja ja vahvaa tunnistamista koske-van sääntelyn sallivan palveluntarjoajien tietyissä poikkeustilanteissa poikkeavan vahvan tunnistamisen vaatimuksesta ja tässä tapauksessa lautakunta katsoo, että pankki on voinut sallia verkkopankin sisäisten siirtojen tapahtuvan ilman vahvaa tunnistamista.

Vaikka sääntely tietyissä poikkeustilanteissa sallii sen, ettei maksupalveluntarjoajan ole edellytettävä maksujen yhteydessä maksajan vahvaa tunnistamista, ei maksupalvelun käyttäjä maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan kuitenkaan vastaa maksuvälineensä oikeudettomasta käytöstä, jos maksupalveluntarjoaja ei ole maksuvälineen oikeudettoman käytön yhteydessä edellyttänyt maksajan vahvaa tunnistamista. Näin ollen salliessaan maksutapahtumia tehtävän ilman maksajan vahvaa tunnistamista ottaa pankki vastuulleen riskin maksuvälineen oikeudettomasta käytöstä.

Tässä tapauksessa verkkopankin sisällä tehdyt kaksi yhteensä 4.770 euron suuruista siirtoa ovat rikollisten oikeudettomasti tekemiä ja koska pankki on sallinut tilisiirtojen tekemisen ilman maksajan vahvaa tunnistamista, vastaa pankki näistä tilisiirroista.

Pankkilautakunta toteaa, että asiassa aiheutunut 20.185,50 euron vahinko on tässä tapauksessa realisoitunut, kun asiakas on syöttänyt puhelimessa saamiensa ohjeiden mukaisesti maksujen vahvistamisen edellyttämät avainluvut valesivuille, joiden kautta saamillaan luvuilla rikolliset ovat voineet vahvistaa ko. maksut ulkomaille. Edellä esitetyin perusteluin lautakunta katsoo asiakkaan menetelleen törkeän huolimattomasti, minkä johdosta asiakas lähtökohtaisesti vastaa maksuista aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Tapauksessa saadun kokonaisselvityksen perusteella Pankkilautakunta kuitenkin katsoo, että asiassa aiheutuneen vahingon edellytyksenä on jälkimmäisen 4.625,20 euron ulkomaille tehdyn maksun osalta ollut ennen em. maksua tehdyt verkkopankin sisäiset siirrot ja se, että pankki on sallinut kyseisten oikeudettomien siirtojen tekemisen ilman vahvaa tunnistamista. Kyseisillä oikeudettomilla tilisiirroilla, jotka vahvan tunnistamisen puutteen vuoksi kuuluvat asiakkaan ja pankin välisessä suhteessa pankin vastuulle, on siirretty asiakkaan tililtä ja korttiluotolta yhteisomisteiselle tilille yhteensä 4.770,00 euroa. Pankki ei ole vedonnut siihen, että yhteisomisteisella tilillä olisi ensimmäisen ulkopuoliselle tehdyn oikeudettoman maksun jälkeen ja ennen em. verkkopankin sisäisiä siirtoja ollut varoja, tai antanut tilin saldosta selvitystä. Pankkilautakunta katsoo näin ollen, että em. sisäiset siirrot ovat olleet edellytyksenä sille, että em. tililtä on niiden jälkeen voitu tehdä vielä toinen siirto ulkomaille. Oikeudettomat sisäiset tilisiirrot ovat näin ollen lisänneet asiassa aiheutuneen vahingon määrää 4.625,20 eurolla. Pankkilautakunta katsoo asiassa aiheutuneen vahingon kuuluvan 4.625,20 euron osalta pankin vastuulle.

Lopputulos

Pankkilautakunta katsoo, ettei asiakas ole antanut ko. tilisiirroille maksupalvelulaissa tarkoitettua suostumustaan ja että kyse on siten pankkitunnusten oikeudettomasta käytöstä maksuvälineenä. Lautakunta katsoo oikeudettoman käytön johtuneen siitä, että asiakas on törkeästä huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan ja asiakkaan siten vastaavan oikeudettomasta käytöstä aiheutuneesta vahingosta lähtökohtaisesti täysimääräisesti.

Edelleen lautakunta kuitenkin katsoo, että vahingon kokonaismäärään on vaikuttanut verkkopankin sisällä tehdyt siirrot, jotka ovat olleet jälkimmäisen ulkomaille tehdyn tilisiirron edellytyksenä. Koska pankki on sallinut kyseisten tilisiirron tekemisen ilman vahvaa tunnistamista ja siirrot ovat oikeudettomia, vastaa pankki kyseisistä tilisiirroista ja asiassa aiheutuneesta vahingosta siltä osin kuin kyseiset siirrot ovat vahingon kokonaismäärää lisänneet.

Edellä esitettyyn viitaten Pankkilautakunta suosittaa pankkia hyvittämään asiakkaalle 4.625,20 euroa.

Ratkaisusuositus syntyi äänin 4–1. Ratkaisusuosituksen antamiseen osallistuivat puheenjohtaja Sillanpää sekä jäsenet Atrila, Punakivi ja Tervonen. Jäsen Ketolan eriävä mielipide on liitteenä.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet: Atrila, Ketola, Punakivi, Tervonen

 

Jäsen Ketolan eriävä mielipide:                                  

Olen Pankkilautakunnan enemmistön kanssa eri mieltä ratkaisusuosituksen perusteluista ja lopputuloksesta siltä osin kuin Pankkilautakunnan enemmistö katsoo pankin olevan vastuussa vahingosta niiltä osin kuin verkkopankin sisäiset oikeudettomat siirrot ilman vahvaa tunnistamista ovat lisänneet vahingon kokonaismäärää.

Asian kannalta merkitykselliset lainsäännökset ovat maksupalvelulain 53 §:n 1 momentti (Maksuvälineestä huolehtiminen), maksupalvelulain 85 c §:n 1 ja 5 momentti (Tunnistaminen), komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artikla (Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot), maksupalvelulain 62 § (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) sekä maksupalvelulain 63 §:n 1 momentti (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta).

Tapauksessa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista kahden rikollisten tekemän asiakkaan hallussa olevien tiilien välisen tilisiirron yhteydessä komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artiklan perusteella. Maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista. Tarkasteltavien kahden verkkopankissa tehdyn oikeudettoman tilien välisen siirron perusteella asiakkaalle ei kuitenkaan ole syntynyt varallisuusvahinkoa, jonka pankki olisi maksupalvelulain 62 §:n 3 momentin 4 kohdan perusteella velvollinen korvaamaan asiakkaalle. Siirrot on tehty sellaisten tilien välillä, joissa asiakas on tilinomistaja tai käyttöoikeudenhaltija ja siirron jälkeen varat ovat olleet edelleen kokonaisuudessaan asiakkaan vallinnassa. Vahinkoedellytyksen täyttymiseksi varojen olisi tullut kyseisten oikeudettomien siirtojen jälkeen päätyä kolmannen osapuolen haltuun. Koska vahingon edellytyksenä on ollut se, että asiakas on syöttänyt maksun vahvistamisen edellyttämän avainluvun valesivuille, eli toiminut maksupalvelulain tarkoittamalla tavalla törkeän huolimattomasti, asiakkaan hallussa olevien tilien väliset oikeudettomat siirrot eivät ole riittävässä syy-yhteydessä aiheutuneeseen vahinkoon, vaan syy-yhteys on katkennut kun asiakas on syöttänyt avainluvun valesivuille ja mahdollistanut oikeudettoman maksutapahtuman. Vaikka pankki ottaisi vastuulleen riskin maksuvälineen oikeudettomasta käytöstä jättäessään vaatimatta vahvaa tunnistamista, riski ei verkkopankissa tehdyissä sisäisissä siirroissa voi realisoitua vahingoksi, koska varoja siirretään ainoastaan asiakkaan hallussa olevien tilien välillä. Maksupalvelulain nojalla maksutapahtumia tulee arvioida erillisinä tapahtumina, jolloin on selvää, ettei sisäisistä siirroista aiheudu korvattavaa vahinkoa.

Pankki palveluntarjoajana on nimenomaisesti edellyttänyt vahvaa tunnistamista sen maksutapahtuman osalta, jolla varat on siirretty kolmannen osapuolen haltuun ja jolla vahinko on realisoitunut. Asiakkaan toiminnalle on annettava sama merkitys riippumatta siitä, siirretäänkö tilillä alun perin olleita varoja tai sinne verkkopankin sisäisen siirron kautta siirrettyjä varoja. Pankkilautakunnan enemmistön näkemyksen mukainen tulkinta asettaisi eriarvoiseen asemaan sellaiset asiakkaat, joiden koko tilivarallisuus on verkkopankissa vain yhdellä tilillä.

Lopputulos

Katson, että vahinko on aiheutunut asiakkaan maksupalvelulain mukaisen törkeän huolimattoman menettelyn seurauksena. Asiakkaan hallussa olevien tilien väliset ilman vahvaa tunnistamista tehdyt oikeudettomat siirrot eivät ole riittävässä syy-yhteydessä oikeudettomasta tilisiirrosta aiheutuneeseen vahinkoon, jonka asiakas on omalla toiminnallaan mahdollistanut. Pankkilautakunnan enemmistön kannan hyväksyminen merkitsisi sitä, että asiakkaan omalla toiminnalla ei olisi merkitystä vastuunjaon arvioinnissa, eikä tällainen malli olisi rikoksentorjunnan kannalta tarkoituksenmukainen.

Edellä todetuin perustein katson, että pankki ei vastaa kyseisistä tilisiirroista ja asiassa aiheutuneesta vahingosta miltään osin, eikä Pankkilautakunnan tulisi suosittaa pankkia korvaamaan asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutunutta vahinkoa.

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä