Tapahtumatiedot
Asiakas on joutunut huijauksen uhriksi hänen varatessaan verkossa hotelleja kotimaan matkaa varten. Valesivujen kautta asiakkaalta saamillaan tiedoilla rikolliset ovat aktivoineet 29.9.2022 klo 20.19 omalle iPhone 6s -laitteelleen lataamansa pankin mobiilisovelluksen. Tämä on edellyttänyt asiakkaan pankkitunnusten käyttäjätunnusta, salasanaa ja tiettyä tunnuslukua tunnuslukulistasta sekä vahvistuskoodia, jonka pankki on lähettänyt asiakkaalle tekstiviestitse klo 20.18:
"Hei! Verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta uudessa laitteessa. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi 9036 laitteessasi olevaan [pankin mobiilisovellukseen]. Älä anna tätä koodia milloinkaan verkkosivuille. Jos epäilet huijausta, ota yhteyttä [pankkiin]. Terveisin [pankki]."
17.10.2022 em. mobiilisovellusta käyttäen asiakkaan nimissä on haettu luottokortit 9.000 ja 8.000 euron luotoilla, asiakkaan käytössä olevien tilien välillä on tehty siirtoja ja asiakkaan tililtä on tehty oikeudettomia tilisiirtoja ulkopuolisille. Asiakas on sulkenut pankkitunnuksensa 19.10.2022.
Pankki on hyvittänyt 15.12.2022 luotoille summan 16.969,00 euroa sekä luotoille kertyneet korot ja kulut. Muista oikeudettomista tapahtumista on aiheutunut asiakkaalle 16.861,86 euron vahinko.
Asiakkaan valitus
Asiakas kiistää olleensa törkeän huolimaton ja vaatii pankkia korvaamaan 16.861,86 euroa.
Rikollinen taho on tehnyt asiakkaan tililtä luvatta tilisiirtoja 17.10.2022 määrältään 16.861,86 euroa ja lisäksi hän on nostanut luottoja asiakkaan nimissä määrältään 16.969,00 euroa. Asiakas on tehnyt asiassa rikosilmoituksen 19.10.2022 ja ilmoittanut asiasta pankille. Pankki on luopunut vaatimasta luottojen takaisinmaksua, mutta tilisiirtojen osalta pankki ei ole nähnyt perustetta maksaa takaisin luvattomasti nostettuja rahavaroja. Luottojen osalta pankki ei ole perustellut päätöstään.
Asiakas on 29.9.2022 päättänyt varata hotellin perheelle Pohjois-Karjalan matkaa varten ja mennyt hotellin sivuille ja kirjautunut sinne pankin verkkopankin kautta. Hän ei kuitenkaan tässä vaiheessa vielä tehnyt varausta, eikä maksanut, vaan katseli tarjouksia ja hotelleja. Tämän jälkeen hänelle on riidattomasti tullut kännykkään klo 20.18 pankin tekstiviestiviesti ketjuun tekstiviesti ja hänelle on annettu koodi 9036. Asiakas kiistää, että olisi laittanut tämän koodin millekään verkkosivustolle. Siihen asiakas ei osaa vastata, miten rikollinen taho on kuitenkin saanut tämän koodin itselleen. Myöhemmin klo 20.21 hänelle on tullut tekstiviesti, että "olet kirjautumassa tunnuksillasi verkkopankkiin" ja lisäksi hänelle on tullut samanlainen viesti klo 20.24.
Asiakas on myöhemmin illalla mennyt takaisin hotellin verkkosivustolle ja kirjautunut pankin nettipankin kautta sivustolle klo 22.35 ja tehnyt varauksen hotelleihin. Hänelle on tullut vahvistus, että "olet tekemässä 150,00 € maksua tililtäsi".
Asiassa ei ole saatu selvyyttä mille sivustolle asiakas on mennyt tekemään hotellivarausta 29.9.2022 illalla, mutta voidaan otaksua, että sivusto on ollut huijaussivusto. Toisaalta asiakas on katsellut normaalisti hotellitarjouksia siellä ja lopulta illalla tehnyt onnistuneesti hotellivarauksen, josta häntä veloitettiin. Tämä puhuisi sen puolesta, ettei sivu ollut huijaussivusto. Asiakkaan muistin mukaan nämä olivat samat sivut.
Miksi tämän jälkeen pankki lähetti asiakkaalle viestejä: ”Lataa maksuton [pankin mobiilisovellus]”, se johti asiakasta harhaan, eikä asiakas ottanut yhteyttä pankkiin. Verkkosivuilla ei ollut mitään poikkeavaa. Kahden viikon päästä yöllä tilit oli tyhjennetty ja luotot tehty. Asiakkaan tiedot ovat olleet pankilla koko ajan ja pankki on tuntenut hänet asiakkaana. Luotot on myönnetty väärillä vieraskielisillä tiedoilla. Tapahtuman jälkeen pankin tietoturva lähetti tyytyväisyyskyselyn ja kiitti verkkoviestistä. Asiakas ei ollut vielä koskaan sitä ennen lähettänyt verkkoviestiä tässä pankissa. Pankilta asiakas toivoo ehdotonta tarkkuutta, luotettavuutta ja ammattitaitoa, jotta säästöt pysyvät säästötilillä eikä katoa nukkuessa, eikä helppoutta tai nopeutta.
Rikollinen taho on ensimmäisen kerran kirjautunut asiakkaan verkkopankkiin 29.9.2022 klo 20.18, mutta on tehnyt tilisiirrot asiakkaan kokonaisuudessaan kuitenkin vasta 17.10.2022. Sitä ennen hän on hakenut asiakkaan nimissä luottoja ja luottokortteja, josta asiakas on saanut ilmoituksen 18.10.2022, että "luottokorttisi saapuu pian" ja perään ilmoitus "Emme valitettavasti ole voineet myöntää hakemaasi luottoa".
Asiakas kiistää, että olisi antanut millekään sivustolle koodia 9036, mutta toisaalta tämä on myös mahdollista, koska pankki lähettää aina neljä numeroisen koodin kirjautumisen yhteydessä. Asiakkaan on vaikea ymmärtää tilanteessa, että kyseinen koodi ei olekaan vahvistuskoodi kirjautumiseen, vaan mobiilipankkisovelluksen käyttöönottokoodi. Asiakkaalla ei ole ollut koskaan mobiilipankkisovellusta, joten hän ei ole myöskään ymmärtänyt mobiilisovelluksen luonnetta tarkalleen. Asiassa voidaan spekuloida, että asiakas on kuvitellut koodin olevan pankin lähettämä kirjautumiskoodi pankkiin ja sitä kautta hotellin sivustolle, mutta tosiasiassa hän on laittanut koodin rikollisten luomalla valesivustolle. Toinen vaihtoehto on, että pankin tai hotellin sivustolla on ollut tietomurto.
Nykypäivänä ihmisten kyvyt ymmärtää, mikä on esimerkiksi pankin mobiilisovelluksen niminen asia, mikä on sen vahvistuskoodi tai verkkopankkikirjautumiseen tarvittava salasana, ovat hyvin rajalliset. On helppoa jälkeenpäin pankin sanoa, että lue tekstiviesti huolellisesti joka kerta ja jos et lue, niin se on sinun ongelmasi, jos kaikki säästösi viedään. Yksi virhe viestin kanssa johtaa peruuttamattomiin seuraksiin. Keskimäärin ihmiset eivät vain tule ajatelleeksi, että he ovat joutumassa rikoksen uhriksi, kun he tekevät esimerkiksi valesivustolla hotellivarausta. Esimerkkinä asiakas on toimittanut pankin edustaman ryhmän lähettämästä sähköpostista, jota luultiin huijaukseksi, mutta se olikin aito viesti. Kohta ihmiset eivät voi enää luottaa mihinkään viesteihin.
Voidaan kysyä perustellusti, miksi pankki lähettää samaan viestiketjuun sekä mobiilipankin aktivointikoodin (4 numeroa) että verkkopankkisivustolle kirjautumiskoodin (4 numeroa). Asiassa on täysin selvä sekaannuksen vaara, vaikka mobiilipankkiviestissä lukeekin, että älä laita numeroa millekään sivustolle. Pankki- ja nettiasioissa kokematon ihminen ei inhimillisesti katsoen pysty huomaamaan tätä yksityiskohtaa ollessaan muutenkin kirjautumassa verkkopankin kautta tekemään hotellivarausta. On luontevaa, että tässä vaiheessa hänelle tulee kirjautumiskoodi. Asiakas ei ole ollut törkeän huolimaton asiassa.
Pankin järjestelmien olisi tullut tunnistaa tilanne, ettei asiakas todennäköisesti ole tekemässä lukemattomia tilisiirtoja keskellä yötä ulkomaille ennestään tuntemattomalle taholle ja samalla ota maksimaaliset lainat itselleen. Asiakkaan aikaisempi käytös ei viittaa tähän. Pankin olisi tullut keskeyttää nämä tilisiirrot välittömästi.
Pankki on hyväksynyt reklamoidut lainat ja hyvittänyt ne, joten pankki myöntää sallineensa tilanteen toteutumisen rikollisille. Miksi pankki muutoin hyvittää asiakkaan nimissä nostetut lainat, koska niihin on käytetty aivan samaa toimintatapaa kuin nostettuihin tilivaroihin. Asiassa tulisi olla tuplavarmistus, eli edelleen sen jälkeen, kun rikollinen taho on saanut mobiilipankin käyttöön, tilin oikean omistajan tulisi vahvistaa isommat tapahtumat esimerkiksi tekstiviestillä.
Pankin vastine
Pankki on hyvittänyt kohtuusyistä 15.12.2022 luotoille summan 16 969,00 euroa ja luotoille kertyneet korot ja kulut. Hyvityksellä ei ole otettu kantaa asiakkaan menettelyyn, vaan hyvitys on tehty ns. hyvän tahdon eleenä.
Tililtä lähteneiden reklamoitujen tapahtumien ja hyvitettyjen luottojen jälkeen reklamoitavaksi summaksi jää 16.861,86 euroa. Reklamoidut tapahtumat on tehty 17.10.2022 ja ne on vahvistettu asiakkaan verkkopankkitunnuksilla käyttöönotetulla pankin mobiilisovelluksella. Sovellus, jolla tapahtumat on vahvistettu, on ladattu laitteella iPhone 6s 29.9.2022 kello 20:19. Jotta sovelluksen käyttöönotto laitteessa iPhone 6s on ollut mahdollista, on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja yksi satunnaisesti valittu tunnuslukutaulukon tunnusluku sekä tekstiviestillä lähetetty vahvistuskoodi. Tunnuslukutaulukko, jota mobiilisovelluksen käyttöönotossa on käytetty, on vain asiakkaan hallussa. Pankilla ei ole tunnuslukutaulukoita tai niiden sisältämiä tunnuksia, jotka sivullinen voisi saada haltuunsa.
Pankki on lähettänyt mobiilisovelluksen käyttöönottoa varten tarvittavan vahvistuskoodin tekstiviestillä 29.9.2022 klo 20:18 asiakkaan tiedoissa olevaan numeroon. Asiakkaan vastaanottamassa viestissä todetaan selkeästi mistä on kyse: Verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta uudessa laitteessa. Kerrotaan mitä vahvistuskoodilla voidaan tehdä: Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi 9036 laitteessasi olevaan [pankin mobiilisovellukseen]. Yksiselitteisesti kielletään koodin syöttäminen verkkosivuille: ”Älä anna tätä koodia milloinkaan verkkosivuille". Näiden lisäksi viestissä ohjeistetaan olemaan yhteydessä pankkiin, jos asiakas epäilee huijausta. FINEn ratkaisukäytännössä on katsottu, että asiakkaan tulee lukea pankilta saapuvat viestit huolellisesti. Mikäli asiakas olisi lukenut vahvistusviestin huolellisesti olisi tälle tullut selväksi, että koodia ei saa syöttää verkkosivustoille. Asiakas on osannut vertailla hotellien hintoja verkkosivuilla, joten asiakkaalla voidaan olettaa olevan käsitys esimerkiksi siitä, mitä verkkosivulla tarkoitetaan. Lisäksi viestin sisältö poikkeaa olennaisesti verkkopankin vahvistuskoodin sisältämästä viestistä.
Pankki katsoo, että jos asiakas ei ole itse hyväksynyt reklamoituja tapahtumia, ei pankki pidä mitään muuta mahdollisena, kuin että asiakas on luovuttanut verkkopankkitunnuksensa ja tekstiviestillä saamansa vahvistuskoodin ulkopuoliselle tai on säilyttänyt tunnuksiaan ja puhelintaan, johon tekstiviestivahvistus on lähetetty, niin huolimattomasti, että ulkopuolinen on saanut ne haltuunsa hänen huomaamattaan. Pankin taustajärjestelmistä on tarkistettu, että pankin järjestelmät ovat toimineet normaalisti.
Asiakas on sulkenut pankkitunnuksensa vasta 19.10.2022. Näin ollen kaikki reklamoidut tapahtumat on tehty ennen pankkitunnusten sulkemista. Huijausviesteistä ja huijaussivustoista on varoitettu useissa kanavissa.
Lopputulos
Asiakas on toiminut pankin digitaalisten yleisten ehtojen vastaisesti ja luovuttanut verkkopankkitunnuksensa sekä pankin mobiilisovelluksen lataamiseen tarvittavan vahvistuskoodin rikollisten haltuun syöttämällä verkkopankkitunnuksensa huijaussivustolle. Pankki katsoo, että asiakas on toiminut maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti luovuttaessaan verkkopankkitunnuksensa ja pankin mobiilisovelluksen lataamiseksi tarvittavan vahvistuskoodin rikollisen haltuun. Näin ollen asiakas vastaa reklamoiduista tapahtumista täysimääräisesti.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Tutkintailmoitus (Ilmoitusaika 19.10.2024 klo 13.00)
- Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot
- Kuvia asiakkaan puhelimen näytöstä, jossa näkyy asiakkaan pankilta saamia tekstiviestejä
- Kuva hotellin sivuilta, joilla varoitetaan huijauksesta
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].
Pankkitunnusehtojen Tunnistaminen [pankin] tunnistusvälineillä -kohdan mukaan
Tunnistusperiaatteemme ovat saatavilla verkkosivuillamme osoitteessa [pankki].fi ja asiakaspalvelupisteillämme.
Tunnistusvälineillämme voit tunnistautua myös kolmannen osapuolen palvelussa siten kuin tunnistuslaissa säädetään.
[…]
Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.
Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]
Asian arviointi
Tapahtumienkulku
Pankki on tapauksessa esittänyt selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jota käyttäen ko. tilisiirrot on tehty. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.
Pankkilautakunta katsoo tapauksessa saadun kokonaisselvityksen perusteella todennäköiseksi, että asiakas on hotelleja verkossa katsoessaan päätynyt rikollisten luomille valesivuille, joilla hän on käyttänyt verkkopankkitunnuksiaan kirjautumistarkoituksessa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen käyttöönoton omalle laitteelleen. Tämän johdosta pankki on lähettänyt 29.9.2022 klo 20.18 asiakkaalle mobiilisovelluksensa aktivoinnin edellyttämän vahvistuskoodin sisältäneen tekstiviestin.
Pankkilautakunta katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että asiakas on syöttänyt myös tekstiviestitse saamansa koodin em. valesivuille. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen ja sovellusta käyttäen tehdä ko. oikeudettomat tilisiirrot.
Asiakkaan menettelyn arviointi
Pankkitunnusehtojen mukaan pankin tunnistusvälineillä voi tunnistautua myös kolmannen osapuolen palvelussa siten kuin tunnistuslaissa säädetään. Pankin ehdoissa ei tarkemmin määritellä, kuinka asiakkaan olisi toimittava kolmannen osapuolen palveluun hakeutuessaan taikka niille kirjautuessaan eikä lautakunnalle ole myöskään toimitettu muita asiakasta velvoittavia käyttö- tai turvallisuusohjeita. Pankki ei ole myöskään vedonnut siihen, että asiakas olisi laiminlyönyt velvollisuuksiaan hakeutuessaan hotellien sivuille. Näin ollen Pankkilautakunta katsoo asiassa riidattomaksi, ettei asiakas ole huolimattomuudestaan laiminlyönyt maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan hotellien sivuille, jotka ovat asiassa saadun selvityksen perusteella osoittautuneet rikollisten luomiksi valesivuiksi.
Pankki on katsonut asiakkaan toimineen törkeän huolimattomasti luovuttaessaan verkkopankkitunnuksensa ja pankin mobiilisovelluksen lataamiseksi tarvittavan vahvistuskoodin rikollisen haltuun. Perusteluna kannalleen pankki on vedonnut mobiilisovelluksensa vahvistuskoodin osalta sitä koskevassa viestissä olleeseen ohjeistukseen, mutta ennen vahvistuskoodin syöttämistä tapahtuneen pankkitunnusten syöttämisen osalta pankki ei ole perustellut näkemystään huolimattomuudesta millään tavoin. Näin ollen Pankkilautakunta katsoo, ettei asiakkaan voida katsoa huolimattomuudestaan laiminlyöneen velvollisuuksiaan pankkitunnustensa käyttämisen suhteen syöttäessään pankkitunnustensa käyttäjätunnusta, salasanaa ja tiettyä tunnuslukua tunnuslukulistasta verkkosivuille näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa käyttötarkoituksessa kirjautuakseen ulkopuolisen palveluun.
Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa koodi syöttämättä verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi viestissä olleen kehotuksen mukaisesti ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä esimerkiksi siten, ettei huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään. Mikäli asiakas ei kuitenkaan ymmärrä, mihin esimerkiksi pankin tekstiviestitse toimittama koodi on tarkoitettu, olisi hänen lautakunnan näkemyksen mukaan huolellisesti toimiessaan lähtökohtaisesti keskeytettävä asiointinsa ja olla esimerkiksi yhteydessä pankkiinsa varmistuakseen menettelyn tarkoituksesta ja asianmukaisuudesta.
Asiakas on tässä tapauksessa vedonnut ensisijaisesti siihen, ettei hän ole syöttänyt koodia mihinkään, ja toissijaisesti mm. siihen, että hänellä ei ole ollut koskaan mobiilipankkisovellusta ja hänen on ollut vaikea ymmärtää, että kyseinen koodi ei olekaan vahvistuskoodi kirjautumiseen, vaan mobiilipankkisovelluksen käyttöönottokoodi.
Pankkilautakunta katsoo, että pankin asiakkaalle lähettämä em. tekstiviesti poikkeaa olennaisella tavalla tavanomaisesta ulkopuolisen palveluun kirjautumista koskevasta vahvistusviestistä ja viestissä kerrotaan asianmukaisesti, mihin viestissä ollutta vahvistuskoodia käytetään ja mihin se tulee syöttää, ja kehotetaan ottamaan yhteyttä pankkiin, jos epäilee huijausta. Edelleen viestissä nimenomaisesti kielletään antamasta koodia milloinkaan verkkosivuille, jollaisilla asiakas on tapauksessa asioinut.
Asiassa saadun selvityksen perusteella ja erityisesti pankin lähettämän pankin mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin sisältö huomioiden Pankkilautakunta katsoo asiakkaan syöttäneen pankin tekstiviestitse lähettämän koodin verkkosivuille mahdollisesti lukematta viestin sisältöä tai ainakin sen sisältöä menettelyssään huomioimatta ja asiakkaan menettelyn tämän johdosta osoittavan hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta ja asiakkaan siten vastaavan täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.
Pankin menettelystä
Asiakas on tapauksessa vedonnut myös siihen, että pankin olisi tullut tunnistaa tilanne ja estää keskellä yötä ulkomaille ennestään tuntemattomalle taholle tehdyt tilisiirrot.
Pankkilautakunta toteaa, että maksupalvelusääntelyn perusteella pankeilla on oltava käytössään maksutapahtumien valvontamekanismit, joiden avulla ne voivat havaita oikeudettomat ja petolliset maksutapahtumat. Tällä velvollisuudella ei kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta. Pankkilautakunta katsoo, että pankki ei siten ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa sillä perusteella, että pankki ei ole estänyt ko. oikeudettomia maksuja.
Lopputulos
Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Atrila
Piilo
Punakivi
Tervonen