Haku

FINE-70685-D2F2W

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-70685-D2F2W (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 29.01.2025

Miten vastuu asiakkaan tililtä oikeudettomasti tehdyistä ja uudella pankin mobiilisovelluksella käyttöön otetulla GooglePaylla tehdyistä korttimaksuista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Pankkitunnusten oikeudeton käyttö. Maksuvälineen haltijan huolimattomuus.

Tapahtumatiedot

Pankin selvityksen mukaan laitteelle HUAWEI P30 on ladattu 27.9.2024 klo 11.03 asiakkaan nimissä oleva pankin mobiilisovellus. Tämä on edellyttänyt asiakkaan pankkitunnusten käyttäjätunnusta, salasanaa ja tiettyä tunnuslukua tunnuslukutaulukosta sekä pankin asiakkaan puhelinnumeroon 27.9.2024 klo 11.02 tekstiviestitse lähettämää vahvistuskoodia. Tekstiviesti on ollut sisällöltään seuraavanlainen:
"TÄRKEÄÄ! [Pankin] verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta uudessa laitteessa. VARO HUIJAUKSIA! ÄLÄ ANNA VAHVISTUSKOODIA KENELLEKÄÄN TAI MILLEKÄÄN VERKKOSIVUILLE. HUIJAUSSIVUSTOT VOIVAT NÄYTTÄÄ [PANKIN] SIVUILTA. Koodia käytetään vain [pankin mobiilisovellus]-sovelluksen käyttöönottoon. Jos et ole itse ottamassa [pankin mobiilisovellusta] käyttöön, älä käytä koodia ja poista tämä viesti. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi 9456 laitteesi [pankin mobiilisovellus]-sovellukseen. Jos epäilet antaneesi verkkopankkitunnuksesi huijaussivulle, soita heti sulkupalveluun 09 xxxx xxxx (pvm/mpm). Terveisin [Pankki].

Em. pankin mobiilisovelluksella asiakkaan luottokortin tiedot on lisätty GooglePay-palveluun. 28.9.2024 klo 00:04 - 30.9.2024 klo 05:02 välisenä aikana on asiakkaan tililtä tehty pankin mobiilisovellusta käyttäen oikeudettomia tilisiirtoja ja asiakkaan luottokortilta on tehty GooglePay-palvelua käyttäen oikeudettomia korttimaksuja. Pankki on sulkenut asiakkaan pankkitunnukset ja kortin 30.9.2024 klo 07:19.

Asiakkaan valitus

Asiakas haluaa, että pankki ei veloita häneltä käytettyä 3.000 euron luottoa sekä palauttaa asiakkaalle noin 270 euroa.

Asiakas sai pankilta 30.09.2024 tekstiviestin, jonka mukaan asiakkaan pankkitunnukset ja kortti on suljettu, koska niiden tiedot ovat saattaneet joutua vääriin käsiin. Asiakkaan mentyä pankkiin, sai hän tietää hänen luottotililtään siirretyn rahaa eri tileille tuntemattomille henkilöille sekä suoritetun korttimaksuja (3.000 euron luotto ja tilille kertyneet noin 270 euroa), joita asiakas itse ei ole tehnyt.

Pankki ilmoitti, että asiakas on toiminut törkeän huolimattomasti, mutta asiakas on eri mieltä. Asiakas ei ole luovuttanut pankkikorttiaan eikä tunnuslukujaan ym. kellekään ulkopuoliselle. Ne ovat aina olleet asiakkaan hallussa ja tunnuslukutaulukko aina eri paikassa lipaston laatikossa.

Reklamaatiota pankissa tehdessään asiakas oli vielä niin järkyttynyt, ettei pystynyt myöntämään, että oli painanut huijauslinkkiä, varsinkin kun asiakaspalvelija antoi ymmärtää, että asiakas olisi syyllistynyt rikokseen. Siksi hän vaistomaisesti vastasi kieltävästi kaikkiin kysymyksiin. Tosiasiassa kaikki tapahtui seuraavasti: Asiakas oli saanut pankin nimissä tulleen viestin, joka näytti prikulleen samanlaiselta kuin pankin viestit. Siinä kehotettiin päivittämään asiakastiedot. Asiakas on painanut kyseistä linkkiä olettaen sen tulleen pankista. Asiakas yritti mennä tunnuslukutaulukolla verkkopankkiin. Se ei onnistunut, joten hän ajatteli, että tunnuslukutaulukko oli vanhentunut, koska hän ei ollut käyttänyt sitä pitkään aikaan. Sitten hän päätti käynnistää pankin mobiilisovelluksen tarkoituksena tehdä siirto toisen pankin tilille. Tähän tarkoitukseen hän käytti saamaansa vahvistuskoodia. Kyseisessä pankin viestissä sanottiin mm. että jos olet itse ottamassa käyttöön pankin mobiilisovellusta, anna vahvistuskoodi laitteesi mobiilisovellukseen. Näinhän asiakas oli tekemässä. Asiakas on saanut pankista samanlaisia viestejä aikaisemminkin, kun on itse ollut ottamassa pankin mobiilisovellusta käyttöön, eikä silloin ole ollut kyse petoksesta. Asiakas on käyttänyt viestissä ilmoitetun koodin vahvistamiseen ja kaikki on sujunut normaalisti. Miten asiakas saattoi tietää, että nyt olisi erilainen tapaus ja petos kyseessä? Se että asiakas kielsi nähneensä viestiä, johtuu siitä, ettei hän sillä hetkellä tajunnut kyseessä olevan juuri se viesti, jossa olevaa koodia asiakas oli käyttänyt. Asiakas toimi hyvässä uskossa, eikä mielestään syyllistynyt törkeään huolimattomuuteen.

Asiakas ihmettelee, minkä takia pankin nimissä tulee paljon huijausviestejä. Esim. pankin B nimissä ei ole koskaan tullut tällaisia viestejä, vaikka asiakas on ollut asiakas vuosikymmeniä ja hoitaa kaikki pankkiasiansa siellä. Asiakas ihmettelee myös sitä, että jos pankki tiesi tai epäili kyseessä olevan huijaus, miksi pankki lähetti asiakkaalle vahvistuskoodin. Pankki kuitenkin jossain vaiheessa tajusi tämän, koska sulki pankkitunnukset ja kortin, valitettavasti vasta sen jälkeen kun huijaus oli jo tapahtunut.

Pankin vastine

Asiakkaan vaatimukset ja tapahtumienkulku

asiakkaan mukaan Asiakas vaatii pankkia hyvittämään varat, jotka hän on menettänyt oikeudettomien luotolta siirron, korttiostojen ja tilisiirtojen myötä. Asiakkaan tilille tulleiden ja lähteneiden tilisiirtojen erotus on ollut 2.261,23 euroa ja korttiostojen määrä 966,54 euroa, jolloin menetetyt varat ovat yhteensä 3.227,77 euroa.

Asiakas on reklamaation yhteydessä kertonut pankille olevansa "täysin varma, ettei kukaan ulkopuolinen ole päässyt käsiksi verkkopankkitunnuksiini eikä puhelimeeni". Lisäksi hän kertoi, että "en todellakaan ole nähnyt kyseistä viestiä", viitaten pankin mobiilisovelluksen käyttöönottoa koskevaan vahvistuskoodin sisältäneeseen tekstiviestiin. FINElle antamassaan lisäselvityksessä asiakas kuitenkin toteaa, että hänen on täytynyt mennä linkin kautta huijaussivustolle ja että hän on laittanut tekstiviestissä olleen vahvistuskoodin sivustolle, koska oletti viestin tarkoittavan omaa pankin mobiilisovellustaan.

Pankin vastaus

Pankin lokitietojen mukaan reklamoidut tapahtumat on vahvistettu pankin mobiilisovelluksella, joka on ladattu laitteeseen HUAWEI P30 27.9.2024 klo 11:03. Reklamoidut korttiostot on tehty lisäämällä kortin tiedot pankin mobiilisovelluksella GooglePay-palveluun.

Pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja ainakin yksi satunnaisesti valittu tunnuslukutaulukon tunnusluku sekä tekstiviestillä lähetetty vahvistuskoodi. Pankki lähetti sovelluksen käyttöönottoon tarvittavan vahvistuskoodin tekstiviestillä asiakkaan numeroon 27.9.2024 klo 11:02. Asiakkaan reklamoimat oikeudettomat tapahtumat tehtiin 28.9.2024 klo 00:04 - 30.9.2024 klo 05:02 välisenä aikana. Pankki on sulkenut asiakkaan pankkitunnukset ja kortin 30.9.2024 klo 07:19.

Asiakas antoi verkkopankkitunnuksensa sähköpostiviestissä saamastaan linkistä avautuneelle sivustolle vastoin pankin Digitaalisia palveluja koskevien ehtojen nimenomaista kieltoa. Tämän jälkeen asiakas antoi pankin tekstiviestitse lähettämän vahvistuskoodin huijaussivustolle, vaikka tekstiviestin selkeän sanamuodon mukaan se oli tarkoitettu pankin mobiilisovelluksen käyttöönottoon ja siinä yksiselitteisesti kiellettiin antamasta koodia verkkosivuille: "VARO HUIJAUKSIA! ÄLÄ ANNA VAHVISTUSKOODIA KENELLEKÄÄN TAI MILLEKÄÄN VERKKOSIVUILLE. HUIJAUSSIVUSTOT VOIVAT NÄYTTÄÄ [PANKIN] SIVUILTA".

Asiakkaan verkkopankkitunnukset ja tekstiviestinä lähetetty vahvistuskoodi ovat päätyneet rikollisille edellä kuvatulla tavalla ja näin ollen pankki katsoo, että asiakas on toiminut maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti ja vastaavan oikeudettomista tapahtumista seuranneesta vahingosta täysimääräisesti.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

  • Tutkintailmoitus (Ilmoitusaika 30.9.2024 klo 14.52)
  • Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot
  • Pankin korttiehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Asian arviointi

Tapahtumienkulku

Pankki on tapauksessa esittänyt selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jota käyttäen ko. tilisiirrot on tehty ja oikeudettomien korttimaksujen tekemiseen käytetty GooglePay-palvelu on käyttöön otettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo tapauksessa riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn sähköpostin, jossa olleen linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on käyttänyt pankkitunnuksiaan luullessaan asioivansa pankkinsa kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen asentamisen omalle laitteelleen. Tämän johdosta pankki on lähettänyt 27.9.2024 klo 11.02 asiakkaalle mobiilisovelluksensa aktivoinnin edellyttämän vahvistuskoodin sisältäneen tekstiviestin, joka on ollut sisällöltään seuraavanlainen:
"TÄRKEÄÄ! [Pankin] verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta uudessa laitteessa. VARO HUIJAUKSIA! ÄLÄ ANNA VAHVISTUSKOODIA KENELLEKÄÄN TAI MILLEKÄÄN VERKKOSIVUILLE. HUIJAUSSIVUSTOT VOIVAT NÄYTTÄÄ [PANKIN] SIVUILTA. Koodia käytetään vain [pankin mobiilisovellus]-sovelluksen käyttöönottoon. Jos et ole itse ottamassa [pankin mobiilisovellusta] käyttöön, älä käytä koodia ja poista tämä viesti. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi 9456 laitteesi [pankin mobiilisovellus]-sovellukseen. Jos epäilet antaneesi verkkopankkitunnuksesi huijaussivulle, soita heti sulkupalveluun 09 xxxx xxxx (pvm/mpm). Terveisin [Pankki].

Pankkilautakunta katsoo riidattomaksi, että asiakas on syöttänyt myös tekstiviestitse saamansa koodin em. valesivuille. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen ja sovellusta käyttäen tehdä ko. oikeudettomat tilisiirrot ja lisätä asiakkaan kortin GooglePay-palveluun, jolla ko. oikeudettomat korttimaksut on tämän jälkeen tehty.

Asiakkaan menettelyn arviointi

Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan sähköpostissa olleen linkin kautta avautuneilla sivuilla.

Pankkilautakunnalle ei ole toimitettu asiakkaan saamaa rikollisten pankin nimissä hänelle lähettämää sähköpostia, mutta asiakkaan kertoman mukaan viesti näytti samanlaiselta kuin pankin aidot viestit ja siinä kehotettiin päivittämään asiakastiedot. Pankkilautakunta katsoo, ettei asiakkaan kertoman mukaisen sähköpostin sisällön perusteella asiakkaan voida edellyttää ymmärtäneen, ettei viesti ollut pankin lähettämä. Pankkilautakunta kiinnittää tässä huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin - ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat - lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä viestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttaa siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan sähköpostin ja viestissä olevan linkin asianmukaisuutta. Myös pankkien asiakkailleen esittämät pyynnöt asiakastietojen päivittämisestä ovat hyvin tavanomaisia.

Ottaen lisäksi huomioon, että sähköpostissa olleesta linkistä on avautunut aidoilta pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen.

Pankkilautakunta on ratkaisukäytännössään jo vakiintuneesti katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Asiakkaan kertoman mukaan hän on linkin kautta yrittänyt kirjautua käyttämällä tunnuslukutaulukkoa, mutta tämä ei kuitenkaan onnistunut. Hän ajatteli taulukon vanhentuneen ja päätti käynnistää pankin mobiilisovelluksen. Pankilta saamansa tekstiviestin hän on lukenut, mutta on kertomansa mukaan tässä yhteydessä kuitenkin ymmärtänyt, että hän oli käynnistämässä pankin mobiilisovellusta ja toimimassa siten viestissä olleiden ohjeiden mukaisesti syöttäessään viestissä olleen vahvistuskoodin. Tämän jälkeen kaikki on asiakkaan kertoman mukaan sujunut normaalisti.

Pankkilautakunta on jo edellä katsonut, että pankin mobiilisovelluksen vahvistuskoodin on asiassa saadun selvityksen perusteella täytynyt päätyä rikollisten tietoon siten, että asiakas on syöttänyt koodin rikollisten luomille valesivuille. Näin ollen asiakas ei tosiasiassa ole avannut puhelimessaan ollutta pankin mobiilisovellusta, vaan asiakas on pankin mobiilisovelluksen vahvistuskoodin saadessaan asioinut valesivuilla.

Pankkilautakunta pitää saadun selvityksen perusteella todennäköisenä, että linkistä on avautunut valesivut, jotka ovat ulkonäöltään näyttäneet pankin mobiilisovellukselta, ja joilla rikolliset ovat voineet esittää asiakkaalle näkymän, jonka mukaan hänen oma mobiilisovelluksensa on aktivoitava uudelleen käyttöön. Tältä osin lautakunta katsoo, että huolellisesti toimivan pankin mobiilisovelluksen käyttäjän tulisi huomata, jos hän ei tosiasiassa ole avannut sovellusta, vaan asioi edelleen selaimessa. Edelleen lautakunta kuitenkin katsoo, että jos asiakas on puhelimensa näytön näkymän perusteella luullut olevansa pankin mobiilisovelluksessa, joka on tullut aktivoida uudelleen käyttöön, on hänen tällöin pankilta saamansa vahvistuskoodin sisältänyt tekstiviesti ollut juuri se, jota asiakas on tuossa tilanteessa perustellusti voinut odottaa saavansa.

Ottaen huomioon asiassa saadun kokonaisselvityksen ja sen, että asiakas on edellä mainituin syin ymmärtänyt pankin tekstiviestissä olleen vahvistuskoodien liittyneen hänen oman mobiilisovelluksensa uudelleen käyttöönottoon, ja hän linkistä avautuneen sivuston ja matkapuhelimensa näyttönäkymän perusteella käsittänyt syöttävänsä pankkitunnustietojaan ja sovelluksen vahvistuskoodin tekstiviestin ohjeistuksen mukaisesti sovellukseen sen käyttöönottoa varten, lautakunta katsoo, ettei asiakkaan menettely varomattomuudestaan huolimatta kokonaisuutena kuitenkaan osoita hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin. Näin ollen lautakunta katsoo, ettei asiakkaan menettely myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu siten 50 euroon.

Lopputulos

Pankkilautakunta suosittaa, että pankki ottaa vastattavakseen asiassa aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Atrila
Piilo
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä