Tapahtumatiedot
Asiakas on saanut puhelun pankin X nimissä. Puhelussa henkilö on kertonut, että asiakkaan tiedoilla on tehty lainahakemus. Puhelussa kerrottiin, että myös pankissa (riidan osapuolena oleva pankki) on yritetty tehdä lainahakemuksia asiakkaan nimellä ja kerrottiin puhelun siirrettävän pankin turvallisuusosastolle. Puhelussa esiintynyt henkilö kertoi, että poistaa lainahakemukset ja tätä varten hän kysyi asiakkaalta pankin tunnuksia, jotka asiakas luovutti eteenpäin. Lisäksi henkilö pyysi puhelun aikana asiakasta hyväksymään tunnuksillaan lainojen poistot.
Asiakkaan tileiltä on tehty 28.8.2024 yhteensä kolme maksua pankin ulkopuolelle, joiden yhteissumma on ollut 29 580 euroa. Lisäksi ulkopuolinen on tehnyt verkkopankin sisällä 1 000 euron suuruisen tilisiirron asiakkaan ja hänen miehensä yhteiseltä tililtä asiakkaan käyttötilille ja 6 900 euron suuruisen siirron asiakkaan luottotililtä asiakkaan käyttötilille. Kaikki maksut lukuun ottamatta kahta verkkopankin sisäistä siirtoa on vahvistettu asiakkaan omalla laitteella pankin tunnistussovelluksella ja lisävahvistettu tekstiviesteillä asiakkaalle lähetetyillä koodeilla. Maksujen vahvistamisessa käytetty pankin tunnistussovellus on ollut asiakkaalle aktivoituna vuodesta 2021 lähtien.
Asiakkaan valitus
Asiakas vaatii pankkia hyvittämään hänelle 29 580 euroa.
27.8.2024 asiakkaalle soitti henkilö, joka ilmoitti soittavansa pankista X (kyseessä toinen pankki, kuin joka on riidan vastapuolena). Henkilö kertoi, että asiakkaan nimellä on tehty lainahakemus. Hän kertoi myös, että jos asiakas ei ole tehnyt sitä, hän ei anna nostaa lainaa. Laina on myönnetty, mutta rahoja ei ole nostettu. Hän kertoi, että pankista Y (riidan vastapuolena oleva pankki) on myös otettu heihin yhteyttä, koska myös pankista Y on tehty lainahakemuksia asiakkaan nimellä. Hän yhdisti puhelun ja puheluun vastasi pankin Y varaesimies B pankin Y Mikonkadun turvallisuusosastolta. Puhelussa näkyi, että puhelu tuli pankista Y. Asiakkaan mies tarkisti, että kyseinen henkilö tosiaan on olemassa ja asiakas kysyi hänen puhelinnumeroaan. Mies antoi numeron ja asiakas soitti siihen, taas ruudulla näkyi pankki Y.
B kertoi, että asiakkaan nimellä, sanoi asiakkaan nimen ja syntymäajan, on tehty heillä kuusi lainahakemusta ja kertoi lainahakijoiden nimet. Yksi heistä oli C, joka oli jo aikaisemmin huijannut asiakasta ja hänen miestään tekeytyen juristiksi. C:stä on tehty myös rikosilmoitus. Kun asiakas kysyi, kuinka toisen nimissä voi hakea lainaa, B sanoi, että henkilötunnuksella. Asiakkaan mukaan C:llä on asiakkaan ja hänen miehensä kaikki tunnukset ja C todellakin tietää myös koko asiakkaan ja hänen miehensä taloudellisen tilanteen. Siksi asiakas ajatteli myös, että C yrittää nyt tällä tavoin saada puuttuvia rahojaan, joita asiakas ja hänen miehensä eivät maksaneet, kun selvisi, että C ei olekaan juristi ja haaste asiasta oli jo lähetetty hänelle.
Koska asiakas ei ollut lainoja hakenut, B halusi poistaa lainat, koska ne oli jo myönnetty. B pyysi asiakkaan mobiilipankkitunnuksen ja asiakas antoi sen, koska monet kerrat on myös pankki Y:stä sitä kysytty ilman tarkistusta. Asiakkaan mukaan joskus joku virkailija pyytää antamaan verkkopankkitunnuksen ja vasta sitten jatkaa puhelua, mutta useimmiten näin ei toimita. Siksi asiakas ei osannut epäillä mitään. B sanoi, että alkaa poistamaan lainatietoja pyytäen asiakasta menemään tunnuksellaan hyväksymään poistot. Sen jälkeen tuli viesteihin koodi, joka asiakkaan piti laittaa numerotilaan. Asiakas kysyi, että eikö B näin saa asiakkaan tilin salasanan, johon B vastasi, että ei näe sitä ja se on salassa pidettävää tietoa.
Näin asiakas ja B saivat muka kaikki lainahakemukset poistettua ja rahat siirrettyä pankille takaisin. Sitten B sanoi kysyvänsä kollegalta konsultaatiota ja puhelu loppui. Samassa asiakkaan tililtä näkyi tilisiirrot summiltaan 6 199 euroa ja 15 390 euroa. Lisäksi asiakkaan luottokortilta oli siirretty 6190 euroa. Asiakas soitti heti pankin Y sulkupalveluun ja sulki tilinsä sekä teki rikosilmoituksen.
Pankkiin Y asiakas meni heti seuraavana päivänä ja asiasta tehtiin korttireklamaatiot. Pankki Y alkoi selvittää asiaa ja muista maksujen vastaanottajista asiakas ei saanut tietoja, mutta toisen tilisiirron vastaanottajan nimellä tuli osoite X, Espoo. Kukaan vastaanottajista ei kuitenkaan rahoja halunnut palauttaa.
Asiakas soitti pankkiin Y ja ihmetteli, kuinka hänen tililtään on voitu nostaa niin paljon rahaa, koska asiakkaan tilillä on nostorajat. Asiakas ei saanut vastausta. Lisäksi asiakas ihmetteli, kuinka näin isoja summia nostettaessa ei nostoa tarkisteta erikseen, niin kuin yleensä tehdään. Siihenkään asiakas ei saanut vastausta.
Asiakkaalle tuli viestillä teksti pankista Y:
"Kun teemme selvityspyyntöjä/maksunpalautuspyyntöjä muille pankeille heidän velvollisuutensa on olla yhteydessä maksun saajaan ja pyytää selvitystä, mistä rahat ovat tulleet ja miksi ja saada lupa palautukselle. Kun sinulla on rikostutkinnasta päätös sen voit esittää [pankille X] ja [pankille Z], mihin näitä maksuja on lähtenyt ja vaatia maksunpalautusta. Poliisinkin toimesta sitä tutkintapäätöksen mukaan varmasti edistetään."
Seuraavana päivänä asiakkaalle tuli viesti Lahden ulosottovirastosta ulosottoylitarkastaja D:ltä, jossa kysyttiin, miksi asiakas on maksanut 15 390 euroa henkilölle X pankkiin Z tilille FIXX XXXX XXXX XXXX XX ja arkistonumero.
Asiakas soitti 31.10.2024 Lahden ulosottoon kysyäkseen, josko varoja olisi mahdollisesti jäädytetty heidän toimestaan. Valituksen kirjoittamisen aikaan asiakas ei ollut saanut vielä vastausta asiaan. Kyselyn asiakas lähetti silloin heti rikospoliisille, joka hoitaa tätä petosasiaa. Pankista tuli asiakkaalle lisäksi viesti, jossa todettiin, että luottokorttilasku on maksettava.
Asiakas on mielestään oikeutettu siihen, että pankki korvaa hänelle aiheutetun menetyksen. Asiakas ei saanut vahvaa vahvistusta tilisiirroista. Asiakkaalla oli koko ajan mobiilipankki auki ja vahvistusta siirroille ei tullut. Asiakas on mielestään toiminut ajattelemattomasti luovuttaessaan pankkitietojaan, mutta on kuitenkin mahdollisuuksiensa ja tietämyksensä mukaan toiminut tavalla, jonka on luullut olevan oikea.
Asiakas on myös kertonut Pankkilautakunnalle huomioita pankin tunnus- ja digisopimuksen ehtoihin liittyen.
Pankin vastine
Selvitys tapahtumasta
Asiakkaan aiemmin kertoman mukaan hän on saanut puhelun pankin X nimissä. Puhelussa henkilö on kertonut, että asiakkaan tiedoilla on tehty lainahakemus. Puhelussa kerrottiin, että myös pankissa (riidan osapuolena oleva pankki) on yritetty tehdä lainahakemuksia asiakkaan nimellä ja kerrottiin puhelun siirrettävän pankin turvallisuusosastolle. Puhelussa esiintynyt henkilö kertoi, että poistaa lainahakemukset ja tätä varten hän kysyi asiakkaalta pankin tunnuksia, jotka asiakas luovutti eteenpäin. Lisäksi henkilö pyysi puhelun aikana asiakasta hyväksymään tunnuksillaan lainojen poistot.
Pankin selvityksen mukaan asiakkaan pankin verkkopankkitunnuksella on kirjauduttu pankin verkkopalveluun käyttäjätunnuksella ja omalla pankin tunnistussovelluksella. Kirjautuminen on tehty vahvasti tunnistautuneena. Maksut ovat tehty myös vahvasti tunnistautuneena ja näistä on lähtenyt lisävahvistusviestit tekstiviestinä asiakkaan puhelinnumeroon. 15 390 euron maksusta on lähtenyt monta lisävahvistusviestiä, klo 17.02, klo 17.04 ja klo 17.11. Maksu on veloittunut klo 17.12, joten asiakas on vahvistanut maksun 28.8.2024 klo 17.11.38 lähteneessä viestissä ilmoitetulla koodilla. Tilien käyttörajoihin on myös tehty muutoksia. Asiakas on hyväksynyt muutokset pankin tunnistussovelluksellaan ja vielä erikseen vahvistanut muutokset lisävahvistuksella.
Lisäksi asiakkaan käyttötilille on siirretty 6 900 euroa hänen korttiluotoltaan, mistä on veloitettu siirtokulua 191,75 euroa. Pankki on luopunut siirtokulun perimisestä.
Maksuja on tehty asiakkaan tileiltä seuraavasti:
Jatkuva tuottotili FIXX XXXX XXXX XXXX XX:
Pvm 28.8.2024 klo 17.12.24
Summa 15 390,00 €
Saajan nimi X
Saajan tili FIXX XXXX XXXX XXXX XX
Viesti maksutukea
Pvm 28.8.2024 klo 17.17.32
Summa 6 190,00 €
Saajan nimi X
Saajan tili FIXX XXXX XXXX XXXX XX
Viesti maksutukea
Tililtä käyttötili FIXX XXXX XXXX XXXX XX:
Tilille on saapunut ensin 6 900 euroa korttiluotolta ja tuottotililtä omien tilien välinen siirto 1000 euroa. Näihin omien varojen siirtoihin asiakkaan tililtä toiselle asiakkaan omalle tilille ei ole vaadittu asiakkaan hyväksymistä pankin tunnistussovelluksella.
Pvm 28.8.2024 klo 17.23.04
Summa 8 000,00 €
Saajan nimi X
Saajan tili FIXX XXXX XXXX XXXX XX
Viesti maksutukea
Maksut on vahvistettu asiakkaan pankin tunnistussovelluksella, joka on ollut asiakkaalla jo vuodesta 2021 alkaen käytössä.
Asiakkaalle on lähetetty turvallisuussyistä seuraavat tekstiviestit lisävahvistuksena:
28.8.2024 klo 17:07:41
”Du håller på att ändra bruksgränsen för ett konto med dina koder. Bekräfta ändringen med koden #### i mobilappen. [pankki]”
28.8.2024 klo 17:09:58
”Du håller på att ändra bruksgränsen för ett konto med dina koder. Bekräfta ändringen med koden #### i mobilappen. [pankki]”
28.8.2024 klo 17:11:38 (samansisältöinen viesti myös kaksi kertaa aiemmin)
”Du vill i vår tjänst betala 15 390,00 EUR på kontot [FIXX XXXX XXXX XXXX XX]. Kontrollera uppgifterna och bekräfta med koden #### i mobilappen. [pankki]”
28.8.2024 klo 17:16:55
”Du vill i vår tjänst betala 6 190,00 EUR på kontot [FIXX XXXX XXXX XXXX XX]. Kontrollera uppgifterna och bekräfta med koden #### i mobilappen. [pankki]”
28.8.2024 klo 17:22:17
”Du vill i vår tjänst betala 8 000,00 EUR på kontot [FIXX XXXX XXXX XXXX XX]. Kontrollera uppgifterna och bekräfta med koden #### i mobilappen. [pankki]”
Siirrot ulkopuolisille on tehty vahvasti sähköisesti tunnistautuneena ja maksuista on lisäksi lähetetty asiakkaalle tekstiviesteillä vahvistuspyynnöt. Maksut on vahvistettu viesteissä pyydetyillä koodeilla, asiakkaan omalla laitteella.
Vahvistus- ja lisävahvistuspyynnöt ovat tulleet asiakkaalle ruotsin kielellä, sillä käyttöraja-muutokset ja maksut käynnistänyt taho on käyttänyt pankin verkkopalvelua ruotsin kielellä.
Asian arviointi
Ensisijaisesti kyseessä on maksupalvelulain mukainen suostumus maksutapahtumille
Asiakas on antanut maksupalvelulain mukaisesti suostumuksensa maksuille. Pankki on asiakkaan kanssa sovitun mukaisesti toimittanut asiakkaalle pankin mobiilipankkiin vahvistuspyynnöt, jotka ovat sisältäneet tiedot maksujen määristä ja viesteissä maksut on pyydetty vahvistamaan asiakkaan omalla pankin tunnistussovelluksella. Maksun lisävahvistamista koskevat tekstiviestit ovat alkaneet sanoille "Du vill i vår tjänst betala" ja lisäksi viestissä lukee, että tarkista tiedot ja vahvista maksu. Näillä tiedoin asiakkaan olisin tullut ymmärtää, että pankin tunnistussovelluksella vahvistetaan maksu. Pankin lähettämä maksun vahvistamista koskeva viesti on selkeä ja informatiivinen. Viestissä sanotaan selkäesti, että maksu vahvistetaan koodilla, joten suostumus maksulle on annettu maksupalvelulain mukaisesti.
Asiakas on antanut maksupalvelulain 38 §:n mukaiset suostumukset maksuille, eikä kysymys ole oikeudettomasta käytöstä.
Toissijaisesti kyseessä on tunnuksen haltijan törkeä huolimattomuus
Asiakas vastaa pankin verkkopankkitunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos oikeudeton käyttö johtuu siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankin tunnus- ja digisopimuksen mukaisia velvollisuuksiaan, ja asiakkaan huolimattomuuden katsotaan olevan törkeää. Asiakas vastaa pankin verkkopankkitunnusten huolellisesta säilyttämisestä, koska viime kädessä ainoastaan maksuvälineenhaltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän maksuvälinettään säilyttänyt.
Asiakas on myöntänyt antaneensa pankkitunnuksensa hänelle soittaneelle henkilölle. Pankin tunnus- ja digisopimuksen ehtojen kohdassa 16.1 on nimenomaisesti kielletty tunnuksen tai sen osan kertominen suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Asiakas on hyväksynyt maksut omalla pankin tunnistussovelluksellaan sekä vielä lisävahvistanut maksut tekstiviestissä ilmoitetulla koodilla siitä huolimatta, että asiakkaan pankilta saamat tekstiviestit ovat sisältäneet tiedot siitä, että ollaan vahvistamassa maksuja ja nämä viestit ovat sisältäneet tiedon myös maksun määrästä ja vastaanottajan tilinumerosta. Jos asiakas ei ole ymmärtänyt ruotsinkielisten viestien sisältöä, olisi hänen tullut pidättyä verkkopankkitunnusten käytöstä. Asiakkaan epäilyn olisi tullut herätä, kun pankin viestit tulevat yhtäkkiä ruotsin kielellä, vaikka asiakas ja pankki ovat sopineet asiakkaan asiointikielen olevan suomi.
Kun otetaan huomioon, että asiakas on joko jättänyt lukematta pankin lähettämät vahvistuspyynnöt ja tekstiviestit tai ainakin jättänyt huomioitta viestien sisällön (tieto maksun vahvistamisesta, saajan tilinumero sekä maksun määrä) ja syöttänyt maksunvahvistamiseen tarvittavat koodit, pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti.
Tässä kyseisessä tapauksessa, ilman vahvaa tunnistamista on tehty vain yksi siirto, 1000 euroa klo 17.20.46, asiakkaan ja hänen miehensä yhteiseltä tililtä asiakkaan -XXXX loppuiselle tilille.
Maksupalvelulain mukaisesti, olennaista on asiakkaan oma toiminta; suostumuksen antaminen tai törkeä huolimattomuus johtavat siihen, että vastuu reklamoiduista maksuista on asiakkaalla. Tämän vuoksi pankki katsoo, etteivät reklamoidut tapahtumat ole maksupalvelulain mukaisesti oikeudettomia, eikä pankki näin ollen ole vastuussa aiheutuneesta vahingosta. Siirrot tililtä toiselle on suoritettu asiakkaan omalta tililtä ja nämä varat on siirretty ulkopuoliselle vahvasti sähköisesti tunnistautuneena. Tili, jolta 1000 euron siirto tehtiin, on jatkuva tuottotili, jolta olisi myös voitu tehdä maksu suoraan ulkopuoliselle. Molemmat tilit ovat olleet asiakkaan omia, eikä vahvan tunnistamisen puuttuminen sisäisessä siirrossa ole aiheuttanut asiakkaalle lisävahinkoa, koska kysymys on ollut asiakkaan omista varoista. Jos FINE antaa sille merkityksen, että tili on ollut asiakkaan ja miehensä yhteinen tili, ja sen takia vahvan tunnistamisen puute on vaikuttanut vahingon kokonaismäärään, niin pankki viittaa lakiin eräistä yhteisomistussuhteista. Lain 2§:"Kunkin yhteisomistajan on katsottava omistavan määräosuuden yhteisestä esineestä. Osuudet ovat, jollei muuta ilmene, samansuuruiset."
Pankki katsoo, että korvaushakemuksen kohteena oleva oikeudeton käyttö jää kokonaisuudessaan asiakkaan omalle vastuulle. Käsittely vastuunjaosta tunnuksilla tehdyistä tapahtumista ratkaistaan asiakkaan ja pankin välillä, kun taas asian rikosoikeudellinen selvittely jää poliisille. Nämä kaksi prosessia ovat keskenään erilliset.
Pankin huomioita
Verkkopalveluun kirjautumisen jälkeen, ja sen jälkeen, kun asiakas on jo pankin mobiilipankissa vahvistanut käyttörajojen muutoksia ja kaksi maksua, on klo 17.20 tehty sekä siirto 6 900 euroa luottokortilta ja 1 000 euroa yhteistililtä asiakkaan käyttötilille, molemmat ilman vahvaa tunnistautumista. Siinä vaiheessa, kun varat on siirretty ulkopuoliselle, pois asiakkaan käyttötililtä klo 17.23, on maksu vahvistettu vahvaa tunnistautumista käyttäen.
Asiakas kertoo "näppäilin tunnuksen puhelimeeni" ja ettei olisi antanut sitä suullisesti. Kuitenkin aiemmin asiakas on kertonut luovuttaneensa tunnuksensa. Pankin käsityksen mukaan asiakas on antanut suullisesti ainakin käyttäjätunnuksensa ja salasanansa. Sitten hän on itse pankin mobiilipankissa näppäilyt tunnuksen puhelimen sovellukseen, kun on hyväksynyt maksut.
Maksutoimeksiannot on tehty ja vahvistettu maksupalvelulain mukaisesti. Maksutoimeksiannot ovat niiden vahvistamisen jälkeen peruuttamattomia ja kaikki maksujärjestelmän osapuolet voivat luottaa siihen, että varat siirtyvät sovitun mukaisesti. Maksun sitovuudesta säädetään maksupalvelulain 81 §:ssä. Jälkikäteisten maksunpalautuspyyntöjen onnistumista ei voida taata missään olosuhteissa, koska palautus ei ole enää maksajan pankin vaikutuspiirissä. Se, että pankilla on oikeus keskeyttää poikkeava tai satunnainen tapahtuma ei tarkoita, että pankki joka vaiheessa maksutapahtumaa voi näin tehdä.
Verkkotunnuksilla asiakas voi itse muuttaa tilien käyttörajoituksia, kuten tässä onkin tehty kaksi kertaa ja niistäkin on mennyt lisävahvistusviestit, jotka asiakas on itse hyväksynyt.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
-Pankin tunnus- ja digisopimuksen ehdot (18.11.2022)
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. maksutapahtumille vai onko maksutapahtumia pidettävä oikeudettomina. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on. Edelleen lautakunnan on arvioitava, vaikuttaako asiakkaan ja pankin välisen vastuunjakoon se, että pankki ei ole edellyttänyt vahvaa tunnistamista verkkopankin sisäisen tilisiirron ja luottokortilta tehdyn siirron yhteydessä.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain (290/2010) 38 §:n 1 momentin mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.
Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksupalvelulain 54 §:n 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelulain 62 §:n mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Maksupalvelulain 85 c §:n 1 momentin mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1)käyttää maksutiliään tietoverkon välityksellä;
2)käynnistää sähköisen maksutapahtuman;
3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
Maksupalvelulain 85 c §:n 5 momentin mukaan
Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.
Maksupalvelulain lisäksi tapauksessa tulevat sovellettaviksi pankin tunnus- ja digisopimuksen ehdot.
Pankin tunnus- ja digisopimusehtojen Tunnusten säilyttäminen ja sallitun käytön rajoitukset -kohdan mukaan
Sinulle luovutettu tunnus on henkilökohtainen. Tunnusta tai sen osaakaan ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos annat tunnuksen kolmannelle, vastaat kolmannen nimissäsi tekemistä toimista.
[…]
Tunnusta tai osaa niistä et koskaan saa:
- kertoa suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessasi [pankin] puhelinpalveluun näppäilet tunnuksen omaan puhelimeesi, samoin näppäilet tunnuksen puhelimeesi, jos haluat varmentaa sinulle tulevan puhelun olevan [pankin] soittama;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille.;
- antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella etkä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.
- […]
Sinun tulee säilyttää tunnustasi ja sen osia huolellisesti ja erillään toisistaan siten, ettei kenelläkään ulkopuolella, ei edes samaan perheeseen kuuluvalla tai niiden käyttöön oikeudettomalla yrityksen työntekijällä ole mahdollisuutta saada niitä tietoonsa. Tunnuksen osia ei saa säilyttää samassa säilytyspaikassa kotona, eikä esimerkiksi lompakossa tai käsilaukussa.
Sinun on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että Tunnus ja sen osat ovat tallessa. […]
Asian arviointi
Pankin asiassa antamien selvitysten mukaan 28.8.2024 suoritetut tilisiirrot lukuun ottamatta yhtä verkkopankin sisäistä siirtoa ja siirtoa luottotililtä käyttötilille on vahvistettu asiakkaan omalla pankin tunnistussovelluksella, joka on otettu käyttöön asiakkaan omalle laitteelle vuonna 2021. Asiakas on myös lisävahvistanut maksut kahta edellä mainittua siirtoa lukuun ottamatta asiakkaan tunnuksiin liitettyyn puhelinnumeroon tekstiviestitse lähetetyillä koodeilla pankin mobiilipankissa. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.
Pankkilautakunta katsoo selvitetyksi, että asiakas on vahvistanut ko. tilisiirrot asiakkaan puhelimessa olleella pankin tunnistussovelluksella. Tunnistussovelluksessa on ennen maksujen vahvistuksen antamista näytetty tiedot maksujen määristä ja viesteissä maksut on pyydetty vahvistamaan asiakkaan omalla pankin tunnistussovelluksella. Tilisiirtojen toteuttaminen on edellyttänyt tavanomaisten tunnistussovelluksessa annettavien maksujen vahvistamisten lisäksi pankin mobiilipankissa annettuja lisävahvistuksia. Tekstiviesteissä, joilla lisävahvistuksiin vaadittavat koodit on lähetetty asiakkaan puhelinnumeroon, on asianmukaisesti kerrottu: ”Du vill i vår tjänst betala [X] EUR på kontot [FIXX XXXX XXXX XXXX XX]. Kontrollera uppgifterna och bekräfta med koden #### i mobilappen. [pankki]”.
Pankkilautakunta on ratkaisukäytännössään vakiintuneesti katsonut, että tapauksissa, joissa rikoksen uhri on huijattuna tullut itse hyväksyneeksi riidanalaiset maksut esimerkiksi omassa puhelimessaan olevalla pankin mobiilisovelluksella ja sovelluksessa on ennen vahvistuksen antamista näkynyt vahvistettavan maksun tiedot, ei pankkia ole suositettu hyvittämään asiassa aiheutunutta vahinkoa asiakkaalle. Näissä tapauksissa on katsottu, että vaikka asiakas on antanut maksujen vahvistukset rikollisten harhaan johtamana, on hän kuitenkin itse antanut maksuille maksupalvelulain 38 §:ssä ja sovellettavissa ehdoissa tarkoitetun suostumuksensa, eivätkä kyseessä olevat maksutapahtumat tällöin ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia. Tämän vuoksi käsillä ei ole myöskään ollut perusteita pankin vastuulle maksuista asiakkaalle aiheutuneesta vahingosta.
Vaikka asiakas on antanut em. vahvistukset tilisiirroille tultuaan rikollisten harhaan johtamaksi, tällä ei ole merkitystä asiakkaan ja pankin välisessä suhteessa. Pankkilautakunta katsoo, että asiakas on antanut maksutapahtumille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtuman toteuttamiseen ja lisävahvistuksensa tilisiirtoja koskevien maksutoimeksiantojen toteuttamiselle. Näin ollen Pankkilautakunta katsoo, etteivät kyseessä olevat maksutapahtumat ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia ja ettei käsillä siten ole perusteita pankin vastuulle maksuista asiakkaalle aiheutuneesta vahingosta.
Verkkopankin sisällä tehtyjen oikeudettomien maksujen tekeminen ilman vahvaa tunnistamista
Maksupalvelulain 8 §:ssä määritetään, mitä laissa tarkoitetaan vahvalla tunnistamisella, jota lain 85 c § edellyttää palveluntarjoajan käyttävän, jos maksaja käyttää maksutiliään tietoverkon välityksellä tai toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski. Edelleen lain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Vahvan tunnistamisen on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin (EU) 2015/2366 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa (RTS). Komission delegoidun asetuksen (EU) 2018/389 III luvussa luetellaan asiakkaan vahvaa tunnistamista koskevan periaatteen poikkeukset.
Em. asetuksen III luvun 15 artiklan, joka koskee saman luonnollisen henkilön hallussa olevien tilien välisiä tilisiirtoja, mukaan on sallittavaa, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.
Asiassa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista siinä yhteydessä, kun rikolliset ovat tehneet asiakkaan verkkopankissa 1 000 euron suuruisen tilisiirron asiakkaan ja hänen miehensä yhteiseltä tililtä asiakkaan käyttötilille ja 6 900 euron suuruisen siirron asiakkaan luottotililtä asiakkaan käyttötilille.
Pankkilautakunta toteaa maksupalveluja ja vahvaa tunnistamista koskevan sääntelyn sallivan palveluntarjoajien tietyissä poikkeustilanteissa poikkeavan vahvan tunnistamisen vaatimuksesta ja tässä tapauksessa lautakunta katsoo, että pankki on voinut sallia verkkopankin sisäisen siirron tapahtuvan ilman vahvaa tunnistamista.
Vaikka sääntely tietyissä poikkeustilanteissa sallii sen, ettei maksupalveluntarjoajan ole edellytettävä maksujen yhteydessä maksajan vahvaa tunnistamista, ei maksupalvelun käyttäjä maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan kuitenkaan vastaa maksuvälineensä oikeudettomasta käytöstä, jos maksupalveluntarjoaja ei ole maksuvälineen oikeudettoman käytön yhteydessä edellyttänyt maksajan vahvaa tunnistamista. Näin ollen salliessaan maksutapahtumia tehtävän ilman maksajan vahvaa tunnistamista ottaa pankki vastuulleen riskin maksuvälineen oikeudettomasta käytöstä.
Tässä tapauksessa verkkopankin sisällä tehdyt 1 000 euron suuruinen tilisiirto asiakkaan ja hänen miehensä yhteiseltä tililtä asiakkaan käyttötilille ja 6 900 euron suuruinen siirto asiakkaan luottotililtä asiakkaan käyttötilille ovat rikollisten oikeudettomasti tekemiä.
Pankkilautakunta toteaa, että asiassa aiheutunut vahinko on realisoitunut, kun asiakas on edellä esitetyn tavoin antanut maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa yhteissummaltaan 29 580 euron maksutapahtumien toteuttamiselle, minkä johdosta asiakas lähtökohtaisesti vastaa maksuista aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.
Tapauksessa saadun kokonaisselvityksen perusteella Pankkilautakunta kuitenkin katsoo, että asiassa aiheutuneen vahingon määrään on vaikuttanut em. maksuja ennen tehdyt verkkopankin sisäiset siirrot ja se, että pankki on sallinut kyseisten oikeudettomien siirtojen tekemisen ilman vahvaa tunnistamista. Kyseisillä oikeudettomilla tilisiirroilla, jotka vahvan tunnistamisen puutteen vuoksi kuuluvat asiakkaan ja pankin välisessä suhteessa pankin vastuulle, on siirretty 1 000 euroa asiakkaan ja hänen miehensä yhteiseltä tililtä asiakkaan käyttötilille ja 6 900 euroa asiakkaan luottotililtä asiakkaan käyttötilille Pankkilautakunta katsoo asiassa aiheutuneen vahingon kuuluvan kyseisten tilisiirtojen määrän osalta pankin vastuulle.
Lopputulos
Pankkilautakunta katsoo asiakkaan antaneen ko. yhteissummaltaan 29 580 euron tilisiirroille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ja asiakkaan siten vastaavan tilisiirroista aiheutuneesta vahingosta pankin ja asiakkaan välisessä suhteessa lukuun ottamatta ilman vahvaa tunnistamista tehtyjä pankin vastuulle jääviä siirtoja. Edelleen lautakunta katsoo, että vahingon kokonaismäärään on vaikuttanut verkkopankin sisällä ennen em. maksuja tehdyt 1 000 euron suuruinen tilisiirto asiakkaan ja hänen miehensä yhteiseltä tililtä asiakkaan käyttötilille ja 6 900 euron suuruinen siirto asiakkaan luottotililtä asiakkaan käyttötilille. Koska pankki on sallinut kyseisten tilisiirtojen tekemisen ilman vahvaa tunnistamista ja siirrot ovat oikeudettomia, vastaa pankki kyseisistä tilisiirroista ja asiassa aiheutuneesta vahingosta siltä osin kuin kyseiset siirrot ovat vahingon kokonaismäärää lisänneet.
Edellä esitettyyn viitaten Pankkilautakunta suosittaa pankkia hyvittämään 1 000 euroa ja 6 900 euroa tileille, joilta em. oikeudettomat tilisiirrot ilman vahvaa tunnistamista tehtiin.
Ratkaisusuositus syntyi äänin 4–1. Ratkaisusuosituksen antamiseen osallistuivat puheenjohtaja Sillanpää sekä jäsenet Atrila, Punakivi ja Tervonen. Jäsen Ketolan eriävä mielipide on liitteenä.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Pöntinen
Jäsenet:
Atrila
Ketola
Punakivi
Tervonen
Jäsen Ketolan eriävä mielipide
Olen Pankkilautakunnan enemmistön kanssa eri mieltä ratkaisusuosituksen perusteluista ja lopputuloksesta siltä osin kuin Pankkilautakunnan enemmistö katsoo pankin olevan vastuussa vahingosta niiltä osin kuin verkkopankin sisäiset oikeudettomat siirrot ilman vahvaa tunnistamista ovat lisänneet vahingon kokonaismäärää.
Asian kannalta merkitykselliset lainsäännökset ovat maksupalvelulain 38 § (Maksajan suostumus maksutapahtuman toteuttamiseen), maksupalvelulain 85 c §:n 1 ja 5 momentti (Tunnistaminen), komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artikla (Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot), maksupalvelulain 62 §:n 3 momentin 4 kohta (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) sekä maksupalvelulain 63 §:n 1 momentti (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta).
Olen samaa mieltä Pankkilautakunnan enemmistön kanssa sen osalta kuin ratkaisusuosituksessa on käsitelty asiakkaan suostumusta rikollisille tehtyjen tilisiirtojen osalta. Kyseessä olevat maksutapahtumat eivät ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia ja tämän vuoksi tapauksessa ei ole laissa säänneltyjä perusteita pankin vastuulle näistä maksuista asiakkaalle aiheutuneesta vahingosta. Pankkilautakunnan enemmistöstä poiketen katson, että maksupalvelulain 63 §:n mukainen palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta on säädetty maksutapahtumakohtaiseksi eikä maksupalvelulaki tunnista vastuunjakoarvioinnissa kokonaisselvitykseen perustuvaa harkintaa.
Tapauksessa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista kahden rikollisten tekemän asiakkaan hallussa olevien tiilien välisen tilisiirron yhteydessä komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artiklan perusteella. Maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista. Tarkasteltavien kahden verkkopankissa tehdyn oikeudettoman tilien välisen siirron perusteella asiakkaalle ei kuitenkaan ole syntynyt varallisuusvahinkoa, jonka pankki olisi maksupalvelulain 62 §:n 3 momentin 4 kohdan perusteella velvollinen korvaamaan asiakkaalle. Siirrot on tehty sellaisten tilien välillä, joissa asiakas on tilinomistaja ja siirtojen jälkeen varat ovat olleet edelleen kokonaisuudessaan asiakkaan vallinnassa. Vahinkoedellytyksen täyttymiseksi varojen olisi tullut kyseisten oikeudettomien siirtojen jälkeen päätyä kolmannen osapuolen haltuun. Koska vahingon edellytyksenä on ollut asiakkaan suostumuksella myöhemmin tehty maksutapahtuma, asiakkaan hallussa olevien tilien väliset oikeudettomat siirrot eivät ole riittävässä syy-yhteydessä aiheutuneeseen vahinkoon, vaan syy-yhteys on katkennut, kun asiakas on antanut suostumuksensa maksutapahtumalle. Vaikka pankki ottaisi vastuulleen riskin maksuvälineen oikeudettomasta käytöstä jättäessään vaatimatta vahvaa tunnistamista, riski ei verkkopankissa tehdyissä sisäisissä siirroissa voi realisoitua vahingoksi, koska varoja siirretään ainoastaan asiakkaan hallussa olevien tilien välillä. Maksupalvelulain nojalla maksutapahtumia tulee arvioida erillisinä tapahtumina, jolloin on selvää, ettei sisäisistä siirroista aiheudu korvattavaa vahinkoa.
Pankki palveluntarjoajana on nimenomaisesti edellyttänyt vahvaa tunnistamista sen maksutapahtuman osalta, jolla varat on siirretty kolmannen osapuolen haltuun ja jolla vahinko on realisoitunut. Asiakkaalle aiheutunut vahinko ei siten ole seurausta maksuvälineen oikeudettomasta käytöstä, vaan asiakas on antanut maksupalvelulain 38 §:n mukaisen suostumuksensa maksutapahtuman toteuttamiselle. Asiakkaan maksutapahtumalle antamalle suostumukselle on annettava sama merkitys riippumatta siitä, siirretäänkö tilillä alun perin olleita varoja tai sinne verkkopankin sisäisen siirron kautta siirrettyjä varoja. Pankkilautakunnan enemmistön näkemyksen mukainen tulkinta asettaisi eriarvoiseen asemaan sellaiset asiakkaat, joiden koko tilivarallisuus on verkkopankissa vain yhdellä tilillä.
Lopputulos
Katson, että vahinko on aiheutunut maksupalvelulain 38 §:n mukaisella asiakkaan suostumuksella tehtyjen maksutapahtumien seurauksena, joita ei ole pidettävä oikeudettomina. Asiakkaan hallussa olevien tilien väliset ilman vahvaa tunnistamista tehdyt oikeudettomat siirrot eivät ole riittävässä syy-yhteydessä asiakkaan myöhemmin vahvistamalla siirrolla hänelle aiheutuneeseen vahinkoon. Pankkilautakunnan enemmistön kannan hyväksyminen merkitsisi sitä, että asiakkaan omalla toiminnalla ei olisi merkitystä vastuunjaon arvioinnissa, eikä tällainen malli olisi rikoksentorjunnan kannalta tarkoituksenmukainen.
Edellä todetuin perustein katson, että pankki ei vastaa kyseisistä tilisiirroista ja asiassa aiheutuneesta vahingosta miltään osin, eikä Pankkilautakunnan tulisi suosittaa pankkia hyvittämään 1 000 euroa ja 6 900 euroa tileille, joilta oikeudettomat tilisiirrot ilman vahvaa tunnistamista tehtiin.