Haku

FINE-71673-K6H7K6

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-71673-K6H7K6 (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 18.12.2025

Miten vastuu asiakkaan verkkopankissa tehdyistä ja asiakkaan puhelimessa olevalla pankin tunnistussovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Miten vastuunjakoon vaikuttaa se, että asiakkaan omien tilien välillä on ennen em. maksuja tehty tilisiirto, jonka yhteydessä ei ole edellytetty vahvaa tunnistamista? Maksajan suostumus maksutapahtumalle. Sisäiset siirrot. Vahva tunnistaminen.

Tapahtumatiedot

Asiakas on saanut 19.9.2024 puhelun pankin B nimissä koskien soittajan mukaan asiakkaan nimissä tehtyjä luottohakemuksia. Soittaja kertoi yhdistävänsä puhelun asiakkaan pankkiin.

Rikolliset ovat päässeet kirjautuaan asiakkaan verkkopankkiin, siirtämään siellä 40.688,00 euroa asiakkaan tuottotililtä asiakkaan käyttötilille ja hakemaan asiakkaan nimissä 30.000 euron kulutusluoton, joka on maksettu asiakkaan käyttötilille. Lisäksi asiakkaan korttiluotolta on tehty 1.900,00 euron siirto asiakkaan käyttötilille.  Asiakkaan käyttötililtä on tehty ulkopuolisille 19.9.2024 klo 15.11-20.01 välisenä aikana yhteensä 77.100,00 euron tilisiirrot. Asiakkaan omien tilien välisten siirtojen yhteydessä pankki ei ole edellyttänyt maksajan vahvaa tunnistamista. Kulutusluoton hakeminen ja tilisiirrot ulkopuolisille on vahvistettu asiakkaan tunnistussovelluksessa ja pankin asiakkaalle lähettämissä luoton vahvistamista ja maksujen vahvistamista koskevissa tekstiviesteissä olleilla koodeilla.

Asiakas on ollut tilanteen huomattuaan yhteydessä pankkiin ja asiakkaan pankkitunnukset on suljettu 19.9.2024 klo 22.38.

Asiakkaan saatettua asian Pankkilautakunnan käsiteltäväksi asian kirjelmöintivaiheessa pankki ilmoitti arvioineensa asiaa uudelleen luoton myöntämisen osalta ja päätyneensä siihen, että asiakkaan nimissä nostettu 30.000 euron luotto mitätöidään kokonaisuudessaan.

Asiakkaan valitus

Pankin turvallisuus- ja laadunjärjestelmä ja digitalisointi (robotti) mahdollistivat koko asiakkaan omaisuuden menetyksen. Asiakas vaatii korttiluotolta nostetun 1.900 euron hyvitystä ja myös koko menetetyn omaisuutensa 45.188 euron hyvittämistä.

Asiakas on 79-vuotias nainen ja joutunut pankkihuijauksen kohteeksi. Asiakkaalle väitettiin, että hänen rahansa olivat vaarassa ja että ne tuli “siirtää turvatilille”. Asiakas toimi ohjeiden mukaan vilpittömässä mielessä, uskossa siihen, että toimi pankin edustajan ohjeiden mukaisesti. Asiakas harhautettiin luovuttamaan verkkopankkitunnuksensa ja hyväksymään tilisiirto huijarin ohjeiden mukaisesti. Tapahtuma oli teknisesti hyväksytty vahvalla tunnistautumisella, mutta tosiasiassa kyse oli rikollisen manipuloinnista ja tahdonvastaisesta maksusta.

Tapahtumahetkellä asiakas toimi täysin rikollisen ohjeistamana. Häntä johdateltiin uskomaan, että kyseessä oli pankin turvatoimenpide ja että varoja siirretään suojaamiseen, ei maksamiseen. Asiakas ei tiennyt eikä ymmärtänyt, että hyväksyy todellisia siirtoja. Asiakkaan oma tahdonmuodostus oli rikollisen tahdon alainen. Asiakas ei voi olla vastuussa hyväksynnästä, joka on annettu täysin väärien tietojen perusteella.

Oikeuskäytännössä on todettu, että vahva tunnistautuminen ei itsessään todista asiakkaan tietoista ja vapaaehtoista tahtotilaa, jos hyväksyntä on annettu petoksen seurauksena ja harhaan johdettuna. Pankkilautakunta on useissa ratkaisuissaan (mm. 2021–2023 puhelin- ja etähuijaustapaukset) katsonut, että vahva tunnistautuminen ei yksin osoita asiakkaan vapaaehtoista ja tietoista tahtotilaa, kun hyväksyntä on saatu harhaanjohtamisella.

Tämä tarkoittaa, että maksutapahtumille annettu vahva tunnistautuminen ei ollut vapaaehtoinen tai tietoinen tahdonilmaisu, vaan rikollisen manipuloima. Kyseessä ei näin ollen ole ollut maksupalvelulain 38 §:n mukainen todellinen suostumus.

Tämän seurauksena he nostivat asiakkaan kaikki säästöt eli koko omaisuuden, yhteensä noin 45.188 euroa, sekä ottivat lisäksi lainoja ja luottoja yhteensä 31.900 euron arvosta. Huijarit pystyivät nostamaan 30.000 euron lainan, koska pankin kehittämä robotti hyväksyi asiakkaan varojen mukaisen lainan, eikä oikea pankkivirkailija tarkistanut asiaa. Lisäksi huijarit nostivat korttiluoton maksimin 1.900 euroa.

Asiakas myöntää toimineensa tilanteessa typerästi, mutta ei muista tarkalleen, miten kaikki tapahtui, eikä ymmärrä, miksi toimi niin. Asiakas ei myöskään ymmärrä, miten pankki voi mahdollistaa 30.000 euron lainan nostamisen pelkällä robotin hyväksymisellä. Asiakas soitti sulkupalveluun välittömästi asian valjettua illalla 19.9.2024. Huijaus ulottui pankin B varoihin, joiden osalta pankki B päätyi 10 000 euron lainan mitätöintiin.

Pankilla on korostunut selonotto- ja huolellisuusvelvoite sekä velvollisuus seurata ja tunnistaa poikkeavaa asiakaskäyttäytymistä. Tässä tapauksessa siirtojen määrä ja ajankohta eivät vastaa asiakkaan normaalia toimintaa. Suuret sisäiset siirrot ja niiden jälkeen ulospäin tehty maksutapahtuma ovat varoitussignaaleja ja toiminnot toteutettiin nopeasti ja täysin epätyypillisesti. Ottaen huomioon huijausten kasvaneen määrän Suomessa ja pankkien oman riskitiedon, pankilla olisi ollut kaikki mahdollisuudet estää tai tarkistaa tapahtumat. Pankin järjestelmän olisi tullut hälyttää ja keskeyttää tällainen epätyypillinen tapahtuma. 

Asiakkaan tapauksessa tehtiin ensin 40.688,00 euron oikeudeton tilisiirto hänen tuottotililtään käyttötilille ilman vahvaa tunnistamista, josta käyttötililtä siirrot kolmannelle osapuolelle tehtiin. Koska asiakas tietää hyvinkin tarkkaan tiliensä saldon, voidaan vahvasti olettaa, että jos kyseisen summan vahvaa tunnistamista olisi vaadittu, olisi hänen hälytyskellonsa asian vilpillisyyden osalta soineet.

Koska asiakas kokee oman tapauksensa olevan hyvin identtinen FINE-075040 asian ratkaisusuosituksen ja lopputuloksen osalta, hän vaatii pankkia hyvittämään 40.688,00 euroa tilille, jolta em. oikeudeton tilisiirto ilman vahvaa tunnistamista tehtiin. Sama oikeudeton siirto tilien välillä myös ennakkotapauksessa FINE-071181 johti korvaukseen.

Pankin väite “varat olivat omassa hallinnassa, kunnes siirrettiin huijarille” ei kestä. Tämä on keinotekoinen ja tekninen tulkinta, joka ei vastaa tapahtumien todellista luonnetta. Asiakkaan tahdonmuodostus oli rikollisen manipulaation alainen eikä näin ollen edusta todellista suostumusta maksutapahtumaan. Asiakas ei ole tosiasiallisesti hallinnut varoja, koska hänet oli manipuloitu luulemaan, että siirto “turvatilille” oli pankin ohjeistama ja välttämätön. Pankin järjestelmä ei estänyt toistuvia ja poikkeuksellisia siirtoja, mikä on laiminlyönti suhteessa pankin valvontavelvollisuuteen.

Perustelut pankin vastuulle

a) Maksupalvelulaki (62 §, 38 § ja 44 §)

  • Maksupalvelulain 62 § mukaan asiakas ei vastaa oikeudettomasta käytöstä, jos hän ei ole toiminut törkeän huolimattomasti. Tässä tapauksessa kyse oli erittäin uskottavasta ja ammattimaisesta huijauksesta, jota ei voida pitää törkeänä huolimattomuutena.
  • Maksupalvelulain 38 § ja 44 § velvoittavat pankin varmistamaan maksutapahtumien turvallisuuden ja oikeellisuuden. Pankin järjestelmä ei estänyt äkillisiä ja poikkeuksellisia siirtoja uusille tileille, vaikka tällaiset ovat tyypillisiä huijauksille. Tämä osoittaa, ettei pankki ole täyttänyt huolellisuusvelvoitettaan. On kohtuutonta, että koko riski siirretään yksittäisen asiakkaan harteille, kun järjestelmä ei ole kyennyt tunnistamaan selvästi poikkeavaa maksukäyttäytymistä. Maksupalvelulaki on säädetty suojelemaan kuluttajaa, ei vapauttamaan pankkeja vastuusta.

b) Kuluttajansuojalaki

  • Kuluttajansuojalain mukaan palvelun on oltava turvallinen ja ammattimaisesti toteutettu. Pankki markkinoi palvelujaan turvallisina ja valvottuina, mutta käytännössä se vapauttaa itsensä vastuusta tilanteessa, jossa asiakas on toiminut vilpittömässä mielessä rikoksen uhrina. Tämä on ristiriidassa kuluttajansuojalain ja hyvän pankkitavan kanssa.

c) Kohtuuttomuus (Oikeustoimilain 36 §)

  • Sopimusehto, jonka mukaan asiakas vastaa kokonaan myös ammattimaisesti järjestetyn huijauksen seurauksista, on kohtuuton. Kohtuullisuusperiaate edellyttää, että riskiä ja vastuuta jaetaan asiakkaan ja pankin välillä.

d) Kansainvälinen kehitys ja EU-sääntely

  • Iso-Britanniassa pankit ovat velvollisia hyvittämään ns. APP-huijausten aiheuttamat menetykset, jos pankki ei osoita riittävää huolellisuutta.
  • EU:n tuleva PSD3- ja maksupalveluasetuksen uudistus tulee todennäköisesti vahvistamaan pankkien vastuuta tämänkaltaisissa huijauksissa. Pankkien ja FINEn olisi jo nyt syytä huomioida nämä kehityssuunnat asiakkaiden turvaksi.

Loppusanat

Asiakas on toiminut vilpittömässä mielessä luottaen pankkijärjestelmään, mutta joutui ammattimaisen ja organisoidusti toteutetun verkkohuijauksen uhriksi, jossa asiakas harhautettiin toimimaan vastoin omaa tahtoaan. Poliisin tutkinnan mukaan tapaus on osa järjestäytynyttä ja kansainvälisesti johdettua rikoskokonaisuutta, jossa uhrit saadaan luulemaan toimivansa pankin turvallisuusohjeiden mukaisesti. Asiakas ei toiminut törkeän huolimattomasti, vaan on ollut rikollisen manipulaation uhri. On kohtuutonta, että yksittäinen kuluttaja kantaisi täyden taloudellisen vastuun tilanteessa, jossa pankin järjestelmät ja valvonta eivät ole olleet riittävän suojaavia.

Edellä esitetyin perustein asiakas vaatii, että:

  1. Pankki korvaa asiakkaalle aiheutuneen taloudellisen vahingon täysimääräisesti tai vähintään kohtuullisen osuuden siitä, huomioiden pankin laiminlyönnit järjestelmän valvonnassa.
  2.  Pankki kehittää maksujärjestelmäänsä niin, että äkilliset, epätyypilliset ja suuririskiset maksutapahtumat (esim. suuret siirrot uusille tilinumeroille) edellyttävät lisävarmennusta tai viivettä.
  3. Pankkilautakunta arvioi tapahtumia kokonaisuutena tarkastellen siirtojen tahdonvastaisuutta, petollisen menettelyn merkitystä sekä pankin huolellisuusvelvoitetta, eikä teknistä siirtomekanismia tai varojen välietappeja, ja ottaa ratkaisussaan huomioon paitsi kansallisen lain ja kohtuullisuusperiaatteen, myös kuluttajansuojan periaatteet ja kansainvälisen kehityksen, joissa vastuu ei jää yksin asiakkaalle.

Pankin vastine

Pankki katsoo ensisijaisesti, että asiakas on hyväksynyt luoton nostamisen kuluttajansuojalain edellyttämällä vahvalla sähköisellä tunnistamisvälineellä ja antanut maksuille maksupalvelulain mukaisen suostumuksen eikä kysymys ole siten oikeudettomasta maksutapahtumasta. Toissijaisesti, tapaukseen liittyvät yksityiskohdat ja kokonaisarviointi huomioon ottaen, pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti.

Selvitys tapahtumasta

Asiakkaalta saadun selvityksen mukaan hän on 19.9.2024 saanut puhelun tuntemattomasta numerosta. Soittaja sanoi olevansa pankista B ja sanoi, että asiakkaan nimissä on tehty useita lainahakemuksia. Mies kertoi yhdistävänsä puhelun pankkiin, jossa toinen henkilö kertoi asiakkaan nimissä haetun 200.000 euron edestä lainoja. Soittaja kertoi korjaavansa tapahtumia ja pyysi asiakasta hyväksymään nämä salasanallaan. Puhelu kesti asiakkaan mukaan useita tunteja ja puhelu katkesi kertaalleen, mutta soittaja soitti asiakkaalle uudelleen.

Asiakas on kertonut, että osasta siirroista tuli puhelimeen viesti, jossa tuli koodi, ja joka piti näpytellä puhelimeen. Soittaja oli pyytänyt asiakkaalta käyttäjätunnusta, mutta asiakas ei muista antaneensa käyttäjätunnustaan soittajalle. Soittaja pyysi kuitenkin asiakasta kirjautumaan mobiilipankkiin. Asiakasta oli puhelussa myös kielletty menemästä mobiilipankkiin kahteen tuntiin ja kerrottu, että asiakkaalle lähetetään uudet tunnukset ja salasanat.

Pankin käsityksen mukaan asiakas on saanut huijauspuhelun, jossa eri pankkien toimihenkilöinä esiintyneet henkilöt ovat ohjeistaneet asiakasta hyväksymään tilisiirtoja ja lainan nostoja asiakkaan omassa mobiilipankissa. Pankin käsityksen mukaan asiakas on luovuttanut käyttäjätunnuksensa ulkopuoliselle ja hyväksynyt tämän kirjautumisen [pankki].fi-sivustolle asiakkaan tunnuksella. Asiakas on vahvistanut kirjautumisen [pankki].fi:hin puhelun aikana kolmeen kertaan, klo 14.23.26, 16.17.35 ja 19.14.45.

Tämän jälkeen asiakas on mobiilipankissa hyväksynyt ulkopuolisen käynnistämiä maksuja. Kaikista ulkopuolisen käynnistämistä kirjautumisista ja maksutapahtumista on tullut asiakkaalle vahvistus- ja lisävahvistuspyynnöt. Lisäksi ulkopuolinen on saatuaan haltuun asiakkaan käyttäjätunnuksen ja päästyään kirjautumaan asiakkaan digipalveluun voinut tehdä siirtoja asiakkaan käytössä olevien tilien välillä.

Tilisiirrot on tehty vahvasti sähköisesti tunnistautuneena ja maksuista on lähetetty asiakkaalle tekstiviestitse lisävahvistuspyynnöt hänen tunnuksiinsa liitettyyn lisävahvistusnumeroonsa. Maksunvahvistuspyyntöjä on ollut yhteensä 31 kappaletta, jotka on vahvistettu pankin tunnistusvälineellä.

Tilisiirtojen lisäksi ulkopuolinen on käynnistänyt pankin verkkopalvelussa lainahakemuksen, jolla asiakkaan tilille on nostettu 30 000 euron luotto. Luottopäätös on tehty asiakkaan kokonaistilanne huomioiden, eikä päätöksen tekemisessä ole tapahtunut virhettä. Luotto on nostettu suoraan asiakkaan tilille, josta se on siirretty tilisiirtoina ulkopuolisille. Asiakkaan luottokortilta on myös nostettu 1 900 euroa tilille ja tämä summa on siirretty ulkopuolisille.

Ulkopuolinen on käynnistänyt kirjautumisen [pankki].fi-palveluun, jonka asiakas on hyväksynyt pankin mobiilisovelluksen tunnistusvälineellään. Sovelluksessa näkynyt vahvistuspyyntö on ollut suomenkielinen. Luoton hyväksymistä koskeva vahvistuspyyntö on ollut suomenkielinen ja pankki on toimittanut siitä referenssikuvan, miltä luoton hyväksyminen on näyttänyt asiakkaan laitteella.

Nimenomaan turvallisuussyistä asiakkaan tunnuksiin liitettyyn puhelinnumeroon on 19.9.2024 klo 15.11–15.41 lähetetty pankin toimesta 12 kappaletta maksun lisävahvistustekstiviestiä, jotka ovat olleet sisällöltään seuraavanlaisia:
”Du vill i vår tjänst betala x xxx,xx EUR på kontot FIxx xxxx xxxx xxxx xx. Kontrollera uppgifterna och bekräfta med koden xxx i mobilappen. [pankki]”
Klo 16.20 Pankki on lähettänyt luoton vahvistamista koskevan tekstiviestin:
”LÄS NOGA! Du håller på att ingå ett kreditavtal om en [pankki] Exaktkredit på 30 000 €. Fortsätt endast om du har gjort ansökan själv. Om du inte själv har ansökt om krediten, meddela detta genast till [pankki] Spärrtjänsten. SE UPP FÖR BEDRÄGERIER! Ge eller mata inte in koden någon annanstans än i [pankki]:s egen mobilapp [pankin mobiilisovellus]. Godkänn avtalet med koden xxxx i [pankin mobiilisovellus]. [pankki]”
Klo 16.24–20.01 pankki on lähettänyt 19 kappaletta maksun lisävahvistustekstiviestiä, jotka ovat olleet sisällöltään seuraavanlaisia:
”Du vill i vår tjänst betala x xxx,xx EUR på kontot FIxx xxxx xxxx xxxx xx. Kontrollera uppgifterna och bekräfta med koden xxxx i mobilappen. [pankki]”

Pankki on toimittanut referenssikuvan siitä, miltä lisävahvistus luoton allekirjoittamisen yhteydessä on näyttänyt asiakkaan laitteella.

Asiakas on ollut tilanteen huomattuaan yhteydessä pankkiin ja asiakaan pankkitunnukset on suljettu 19.9.2024 klo 22:38:37.

Asiakkaalla on kaksi tiliä; tuottotili ja käyttötili. Asiakkaan tuottotililtä on siirretty asiakkaan käyttötilille 40.688,00 euroa. Kaikki siirrot ulkopuoliselle on tehty asiakkaan käyttötililtä. Luotto ja korttiluotto on nostettu asiakkaan käyttötilille.

Asian arviointi

Asiakas on ensisijaisesti antanut maksutapahtumille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtuman toteuttamiseen ja lisävahvistuksensa tilisiirtoja koskevien maksutoimeksiantojen toteuttamiselle. Toissijaisesti kyseessä on tunnuksen haltijan törkeä huolimattomuus; asiakas on luovuttanut käyttäjätunnuksen ulkopuoliselle ja hyväksynyt maksut mobiiliavaimella sekä ne lisävahvistanut ja tämä vielä tuntien ajan.

Maksupalvelulain mukaisesti olennaista on asiakkaan oma toiminta; suostumuksen antaminen tai törkeä huolimattomuus johtavat siihen, että vastuu reklamoiduista maksuista on asiakkaalla.

Ensisijaisesti kyseessä on maksupalvelulain mukainen suostumus maksutapahtumille

Asiakas on antanut maksupalvelulain mukaisesti suostumuksensa maksuille. Pankki on asiakkaan kanssa sovitun mukaisesti toimittanut asiakkaalle maksujen vahvistuspyynnöt hänen henkilökohtaisessa käytössään olevaan laitteeseen ladattuun pankin mobiilisovellukseen. Pyynnöt ovat sisältäneet tiedot maksujen määristä ja saajien tilinumeroista. Vahvistuspyynnöissä maksut on pyydetty vahvistamaan pankin tunnistusvälineellä.

Hyväksymällä maksut tekstiviesteissä pyydetyn mukaisesti tunnistusvälineellään asiakas on antanut maksupalvelulain 38 §:n mukaiset suostumukset maksuille, eikä kysymys ole oikeudettomasta käytöstä.

Vaikka asiakas on antanut em. vahvistukset tilisiirroille tultuaan rikollisten harhaan johtamaksi, tällä ei ole merkitystä asiakkaan ja pankin välisessä suhteessa. Pankki voi arvioida vastuun jakautumista pankin ja maksuvälineen haltijan välillä vain maksupalvelulain ja sopimusehtojen mukaisten vastuunjakosäännösten perusteella.

Toissijaisesti kyseessä on tunnuksen haltijan törkeä huolimattomuus

Pankki on useaan otteeseen vuoden 2024 aikana varoittanut asiakkaitaan tietojenkalastelusta. Pankki katsoo, yleisen tietämyksen ja pankin antamien ohjeiden ja varoitusten perusteella, että asiakkaan tulisi olla tietoinen tunnusten turvallisesta käytöstä.

Tässä tapauksessa asiakas on luovuttanut käyttäjätunnuksensa ulkopuoliselle, ja tämän jälkeen itse mobiiliavaimellaan hyväksynyt ulkopuolisen kirjautumisen asiakkaan [pankki].fi-palveluun. Tämän jälkeen asiakas on mobiiliavaimellaan ja tekstiviestillä lähetetyllä lisävahvistuskoodilla hyväksynyt sekä luoton ja korttiluoton noston että kolmannen käynnistämät tilisiirrot ulkopuolisille. Pankin lisävahvistusviestit ovat olleet ruotsinkielisiä, sillä ulkopuolinen on käynnistänyt istunnon [pankki].fi-palvelussa ruotsin kielellä. Lisävahvistusviestin kieli määräytyy aina sen mukaan, millä kielellä [pankki].fi-istunto on avattu selaimessa. Lisävahvistusviestit ovat sisältäneet tiedon maksun määrästä ja saajan tilinumerosta tai kehotuksen tarkastaa maksu tai hyväksyä luoton nosto. Asiakkaan olisi tullut reagoida ja olla hyväksymättä tapahtumia, kun hän huomasi, että viestien kieli ei ollut sama, kuin hänen normaali asiointikielensä, eikä hänen ollut tarkoitus tehdä viestissä ilmoitettuja toimia. Mikäli asiakas ei ole ymmärtänyt viestien sisältöä, asiakkaan olisi tullut pidättyä tapahtumien vahvistamisesta ja lisävahvistamisesta.

Kun otetaan huomioon edellä kuvatut yksityiskohdat; käyttäjätunnuksen luovuttaminen ulkopuoliselle ja maksujen hyväksyminen tunnistusvälineellä sekä lisävahvistaminen, pankki katsoo asiakkaan toimineen kokonaisuutena arvioiden törkeän huolimattomasti. Maksujen vahvistaminen ja luoton nostamisen hyväksyminen osoittaa, että asiakas ei joko lukenut hänelle lähetettyjä viestejä tai on jättänyt ne kokonaan huomiotta. Asiakkaalle on tullut tuntien aikana kymmeniä lisävahvistusviestejä, joiden sisällön hän on jättänyt täysin huomioimatta.

Maksupalvelulain mukaisesti olennaista on asiakkaan oma toiminta; suostumuksen antaminen tai törkeä huolimattomuus johtavat siihen, että vastuu reklamoiduista maksuista on asiakkaalla.

Asiakkaan väitteet koskien luoton myöntämistä

Asiakas on väittänyt, ettei hän ole ollut tietoinen luoton nostamisesta ja kiistää antaneensa suostumustaan luoton nostamiseen. Pankki on toimittanut asiakkaalle suomenkieliset vahvistuspyynnöt luoton allekirjoittamisesta asiakkaan pankin mobiilisovellukseen. Ensimmäisen vahvistuspyynnön asiakas on hyväksynyt omalla tunnistusvälineellään ja toisen, lisävahvistuspyynnön, erillisessä tekstiviestissä ilmoitetulla koodilla. Pankki on todentanut luotonhakijan henkilöllisyyden kuluttajansuojalain 7 luvun 15 §:n edellyttämällä tavalla. Pankki katsoo, että asiakkaalle on toimitettu selkeä ja riittävä informaatio luottosopimuksen tekemisestä.

Lisäksi asiakas on esittänyt, että luoton hyväksymisprosessi on ollut puutteellinen ja mahdollistanut huijauksen. Pankki katsoo, että luottopäätös ja luottokelpoisuus on tehty asiakkaan kokonaistilanne huomioiden eikä prosessissa ole ollut puutteita. Kokonaistilanteessa on tarkasteltu asiakkaan tulotasoa, säästämisastetta ja maksukykyä sekä hakemustietojen että kansallisen Positiivisen luottotietorekisterin dataa hyödyntäen. Lisäksi pankki on tarkastanut, että asiakkaalla ei ole ollut hakemushetkellä julkisia maksuhäiriöitä, omaehtoista luottokieltoa, eikä edunvalvontatietoa. Asiakkaan nettotulot ovat 1.860 euroa. Asiakkaan tulotaso ja elämisen kustannusten taso on ollut tasapainossa hakemushetkellä. Lisäksi asiakkaan keskitalletus edeltävän 12 kk ajalta on ollut hakemushetkellä 44.374 euroa ja vastaavasti edeltävän 3 kk keskitalletus on ollut hakemushetkellä 45.208 euroa. Voidaan siis todeta, että asiakkaan varallisuus hakemushetkellä on ollut erittäin hyvä ja kasvava em. keskitalletuksilla tarkasteltuna.

Pankki katsoo, ettei sen toiminnassa ole tapahtunut virhettä eikä pankki siten ole velvollinen korvaamaan asiakkaalle luoton nostamisesta aiheutunutta vahinkoa.

Perusteet asian oikeudelliseen arviointiin

Pankin toimet asiakkaiden varoittamiseksi

Väärinkäytösten ehkäisemiseksi pankki on aktiivisesti varoittanut asiakkaitaan verkkopalvelutunnusten kalastelukampanjoista muun muassa seuraavilla [pankki].fi:n tiedotteilla 26.8.2024, 9.8.2024, 4.7.2024

7.5.2024 ja 26.4.2024. Pankki on ohjeistanut asiakkaitaan olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjautua sähköpostitse tulleen linkin kautta. Lisäksi pankki on ohjeistanut, että kirjauduttaessa verkkopankkiin, tulee kirjoittaa verkkopankin osoite (www.[pankki].fi) selainriville itse tai käyttää tallennettua kirjanmerkkiä. Jos mahdollista, asiointiin on suositeltu käytettävän pankin mobiilisovellusta.

Sääntely

Pankki viittaa kuluttajansuojalain 7 luvun 15 § 1 momenttiin, maksupalvelulain mukaan 53 ja 62 §:in sekä pankkitunnusehtoihinsa. ja asiakkaalle tunnus- ja digisopimuksen tekemisen yhteydessä annettuun Tärkeää tietoa [pankin] tunnuksistasi -niminen asiakirjaan.

Pankkilautakunnan lisäselvityspyynnöt

Asiaa on arvioitu uudelleen luoton myöntämisen osalta ja tässä tapauksessa on päädytty siihen, että asiakkaan nimissä nostettu Tarkkaluotto (30 000 EUR) mitätöidään kokonaisuudessaan. Asiakas ei ole tehnyt luotolle suorituksia, joten palautettavaa ei kerry. Luotto poistetaan asiakkaan tiedoista. Näin tieto poistuu myös positiivisesta luottotietorekisteristä.

Korttiluotto 1.900,00 euroa on nostettu asiakkaan tilille 19.09.2024 klo 20:00:11. Tässä ei ole ollut kyse uuden luoton myöntämisestä, vaan jo aiemmin myönnetyn luoton siirtämisestä asiakkaan tilille. Voimassa olevat sääntelystandardit sallivat sen, ettei omien tilien välisiin siirtoihin tarvitse käyttää vahvaa tunnistamista, vaan vahvan tunnistamisen vaatimuksesta voidaan poiketa. Asiakkaalle on aiheutunut vahinkoa vasta, kun varoja on siirretty asiakkaan tililtä ulkopuoliselle saajalle pois asiakkaan hallusta.

Kysymykseen koskien omien tilien välisiä siirtoja pankki toteaa, että tapauksessa on tehty yksi omien tilien välinen siirto: asiakkaan tuottotililtä on siirretty 40.688 euroa asiakkaan käyttötilille. Tämä ei ole lisännyt vahingon määrää, sillä varat ovat olleet edelleen asiakkaan omalla tilillä ja asiakas olisi voinut olla hyväksymättä ulkopuolisen käynnistämiä tilisiirtoja, joista hänelle on tullut lisävahvistusviestit. Pankin näkemyksen mukaan omien tilien välisestä siirrosta lähetetty vahvistusviesti olisi tuskin rajoittanut vahingon määrää, sillä asiakas on hyväksynyt ja lisävahvistanut joka tapauksessa 31 siirtoa.

Kysymykseen siitä, onko asiakkaan korttiluotolta tai asiakkaan tuottotililtä ollut mahdollista tehdä maksuja pankin ulkopuolelle pankki toteaa, että pankin luottokorteilta pystyy siirtämään luottoa omille käyttötileille mobiilipankissa ja verkkopankissa kortin tiedoissa tai omien tilien välisellä siirrolla valitsemalla lähtötiliksi kortin luottotilin. Lisäksi kortilla on myös mahdollista maksaa maksupäätteellä ja verkossa (tunnistautumalla tunnistussovelluksella tai verkkopankkitunnuksilla). Tuottotili on säästötili, jolta voi nostaa rahaa tai tehdä tilisiirron toiselle pankissa olevalle tilille jolle asiakkaalla on käyttöoikeus. Siltä ei voi tehdä suoraan tilisiirtoa ulkopuoliselle.

Omien tilien välinen siirto ei ole siirtänyt varoja pois asiakkaalta tai hänen hallinnastaan ja määräysvallastaan. Siirron vuoksi varat eivät ole siirtyneet toiselle henkilölle, vaan molempien tilien omistajana on ollut asiakas itse. Asiakkaalle on aiheutunut tapauksessa vahinkoa vasta kun hän on maksupalvelulain mukaisesti hyväksynyt varojen siirrot ulkopuoliselle. Asiakkaan viittaama pankkilautakunnan ratkaisu (FINE-075040) koski tilannetta, jossa varat oli siirretty eri henkilöiden tilien välillä, tilanteessa, jossa kyseisellä asiakkaalla oli käyttöoikeus myös mainitun toisen henkilön tiliin. Tapaukset eivät siis ole verrattavissa toisiinsa.

Pankki on arvioinut viitattuja pankkilautakunnan aikaisemmin antamia suosituksia huolellisesti. Jotta pankki varmistaa asiakkaidensa yhdenvertaisen kohtelun, on pankin toiminnan ja ratkaisujen perustuttava ensisijaisesti lakiin.

Pankki jakaa osittain pankkilautakunnan näkemyksen. Pankki katsoo maksupalvelulain mukaan perustelluksi korvata vahingon siltä osin, kun vahinko on aiheutunut mahdolliselle ulkopuoliselle, jolloin vahinko on aiheutunut, kun tilisiirto yhteiseltä tilliltä on tehty ilman vahvaa tunnistamista eli varojen hallinta on siirtynyt pois toiselta tilin omistajalta ilman maksupalvelulain mukaista vahvaa tunnistamista.

Pankki ei kuitenkaan korvaa siirtoja, jotka on tapahtuneet asiakkaan omien tilien välillä. Varat ovat olleet asiakkaan omassa hallinnassa sekä määräysvallassa siihen asti, kun tilisiirroille on annettu maksupalvelulain mukaisesti suostumus varojen siirtämiselle ulkopuoliselle eli vahinko asiakkaalle itselleen on syntynyt vasta siinä vaiheessa, kun varat on siirretty ulkopuolisen omistamalle tilille.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin tunnus- ja digisopimuksen ehdot
- Pankin yrityksen digisopimuksen ehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. maksutapahtumille vai onko maksutapahtumia pidettävä oikeudettomina. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin sekä pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on. Edelleen lautakunnan on arvioitava, vaikuttaako asiakkaan ja pankin välisen vastuunjakoon se, että pankki ei ole edellyttänyt vahvaa tunnistamista verkkopankin sisäisten siirtojen yhteydessä.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 8 §:n (Määritelmät.) mukaan
Tässä laissa tarkoitetaan:
[…]
24) vahvalla tunnistamisella maksupalvelun käyttäjän sähköistä tunnistamista, jossa suojataan tunnistamistiedon luottamuksellisuutta ja käytetään menettelyä, joka perustuu vähintään kahteen seuraavista kolmesta toisistaan riippumattomasta vaihtoehdosta:
a) johonkin, mitä vain maksupalvelun käyttäjä tietää;
b) johonkin, mitä vain maksupalvelun käyttäjällä on hallussaan;
c) maksupalvelun käyttäjän yksilöivään ominaisuuteen;
[…]

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n (Tunnistaminen) 1 momentin mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1)käyttää maksutiliään tietoverkon välityksellä;
2)käynnistää sähköisen maksutapahtuman;
3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
Jos maksaja käynnistää sähköisen maksutapahtuman etäviestimellä, palveluntarjoajan on käytettävä vahvaa tunnistamista, johon yhdistetään maksutapahtuman määrä ja maksunsaaja maksupalveluista sisämarkkinoilla, direktiivien 2002/65, EY, 2009/110/EY ja 2013/36/EU ja asetuksen (EU) N:o 1093/2010 muuttamisesta sekä direktiivin 2007/64/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366, jäljempänä maksupalveludirektiivi, 97 artiklan 2 kohdassa tarkoitetulla tavalla.
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
Edellä 1 ja 2 momentissa tarkoitetun vahvan tunnistamisen sekä 3 momentissa tarkoitettujen turvatoimenpiteiden on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa.
Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.

Pankin tunnus- ja digisopimuksen ehtojen (jäljempänä pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Tunnusten säilyttämistä ja sallitun käytön rajoitukset -kohdan mukaan
Henkilöasiakkaalle luovutetut Tunnukset ovat henkilökohtaiset. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos asiakas antaa Tunnuksensa kolmannelle, asiakas vastaa kolmannen hänen nimissään tekemistä toimista.
[…]
Tunnuksia tai osaa niistä ei koskaan saa:
- kertoa suullisesti niitä puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessaan [pankin] puhelinpalveluun asiakas näppäilee Tunnukset puhelimeen. Palveluntarjoaja tai muut [pankkiryhmän] yritykset eivät koskaan soita asiakkaalle ja pyydä kertomaan tai näppäilemään Tunnuksia;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille;
- käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissivulle on lähetetty Asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.
Käyttäjätunnuksen ja salasanan sisältävä kalvo on hävitettävä eikä käyttäjätunnusta tai salasanaa saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon. Jos Tunnukset on luovutettu sähköisesti, Asiakkaan tulee itse suojata tunnukset ja varmistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisille ja että tiedot eivät jää ulkopuolisten saataville.
Tunnuksia on säilytettävä huolellisesti ja erillään toisistaan siten, ettei kenelläkään, ei edes samaan perheeseen kuuluvalla tai niiden käyttöön oikeudettomalla yrityksen työntekijällä ole mahdollisuutta saada niitä tietoonsa. Tunnusten osia ei saa säilyttää samassa säilytyspaikassa kotona, eikä esimerkiksi lompakossa tai käsilaukussa.
Asiakkaan on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että Tunnukset ovat tallessa.
Asiakkaan on [pankki]-verkkopalveluihin kirjautuessaan suojattava laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla Tunnuksia käytetään siten, ettei kenelläkään ole mahdollisuutta saada Tunnuksia tietoonsa
[…]

Pankin tunnus- ja digisopimusehtojen Ilmoitus Tunnusten katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan
Asiakkaan on välittömästi ilmoitettava Palveluntarjoajalle Tunnusten katoamisesta tai niiden joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka jos asiakas epäilee niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun.
[…]

Asian arviointi

Tapahtumienkulku

Pankkilautakunta katsoo tapauksessa selvitetyksi, että asiakas on tullut puhelimessa rikollisten harhaan johtamaksi ja luullessaan asioivansa pankkinsa kanssa hän on antanut puhelimessa suullisesti pankkitunnustensa käyttäjätunnuksensa ja harhaanjohdettuna vahvistanut puhelimessaan olleella pankin tunnistusvälineellä rikollisten kirjautumisen verkkopankkiinsa. Asiakas on myös vahvistanut rikollisten verkkopankissa luomat yhteensä 77.100,00 euron maksut ulkopuolisille pankin mobiilisovelluksessa pankin asiakkaalle lähettämissä tekstiviesteissä olleilla koodeilla.

Pankkilautakunta on ratkaisukäytännössään vakiintuneesti katsonut, että tapauksissa, joissa rikoksen uhri on huijattuna tullut itse hyväksyneeksi riidanalaiset maksut esimerkiksi omassa puhelimessaan olevalla pankin mobiilisovelluksella ja sovelluksessa on ennen vahvistuksen antamista näkynyt vahvistettavan maksun tiedot, ei pankki ole velvollinen hyvittämään asiassa aiheutunutta vahinkoa asiakkaalle. Näissä tapauksissa on katsottu, että vaikka asiakas on antanut maksujen vahvistukset rikollisten harhaan johtamana, on hän kuitenkin itse antanut maksuille maksupalvelulain 38 §:ssä ja sovellettavissa ehdoissa tarkoitetun suostumuksensa, eivätkä kyseessä olevat maksutapahtumat tällöin ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia. Tämän vuoksi käsillä ei ole myöskään ollut perusteita pankin vastuulle maksuista asiakkaalle aiheutuneesta vahingosta.

Vaikka tässä tapauksessa pankki on toimittanut referenssikuvat ainoastaan luoton vahvistamista ja lisävahvistamista koskevista pankin mobiilisovelluksen vahvistuspyynnöistä eikä pankki ole nimenomaisesti selvittänyt, mitä asiakkaan pankin mobiilisovelluksessa on kunkin maksun kohdalla näkynyt, näyttää pankki Pankkilautakunnan tietojen mukaan sovelluksessaan asianmukaisesti maksun tiedot sekä tavanomaisessa maksunvahvistuspyynnössä että maksun lisävahvistuspyynnössä. Lisäksi asiakkaan vastaanottamissa maksunvahvistamista koskevissa ja vahvistuskoodit sisältäneissä tekstiviesteissä on näkynyt hyväksyttävän maksun euromäärä ja saajan tilinumero sekä toteamus: ”Du vill i vår tjänst betala..”. Pankkilautakunta katsookin, ettei asiaa ole syytä arvioida toisin kuin lautakunta on edellä esitetyllä tavalla arvioinut tapauksissa, joissa maksun tiedot ovat näkyneet pankin mobiilisovelluksessa.

Pankkilautakunta katsoo, että asiakas on antanut maksutapahtumille maksupalvelulain 38 §:ssä ja sovellettavissa ehdoissa tarkoitetun suostumuksensa maksutapahtumien toteuttamiseen. Vaikka asiakas on antanut em. vahvistukset maksuille tultuaan rikollisten harhaan johtamaksi, ei tällä ole merkitystä asiakkaan ja pankin välisessä suhteessa. Näin ollen lautakunta katsoo, etteivät kyseessä olevat maksutapahtumat ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia ja ettei käsillä siten ole perusteita pankin vastuulle korttimaksuista asiakkaalle aiheutuneesta vahingosta.

Verkkopankin sisällä tehdyn oikeudettoman tilisiirron tekeminen ilman vahvaa tunnistamista

Maksupalvelulain 8 §:ssä määritetään, mitä laissa tarkoitetaan vahvalla tunnistamisella, jota lain 85 c § edellyttää palveluntarjoajan käyttävän, jos maksaja käyttää maksutiliään tietoverkon välityksellä tai toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski. Edelleen lain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Vahvan tunnistamisen on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin (EU) 2015/2366 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa (RTS). Komission delegoidun asetuksen (EU) 2018/389 III luvussa luetellaan asiakkaan vahvaa tunnistamista koskevan periaatteen poikkeukset.

Em. asetuksen III luvun 15 artiklan, joka koskee saman luonnollisen henkilön hallussa olevien tilien välisiä tilisiirtoja, mukaan on sallittavaa, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.

Asiassa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista siinä yhteydessä, kun rikolliset ovat siirtäneet asiakkaan verkkopankissa 40.688,00 euroa asiakkaan tuottotililtä asiakkaan käyttötilille ja 1.900,00 euroa asiakkaan korttiluotolta asiakkaan käyttötilille.

Pankkilautakunta toteaa maksupalveluja ja vahvaa tunnistamista koskevan sääntelyn sallivan palveluntarjoajien tietyissä poikkeustilanteissa poikkeavan vahvan tunnistamisen vaatimuksesta ja tässä tapauksessa lautakunta katsoo, että pankki on voinut sallia verkkopankin sisäisten siirtojen tapahtuvan ilman vahvaa tunnistamista.

Vaikka sääntely tietyissä poikkeustilanteissa sallii sen, ettei maksupalveluntarjoajan ole edellytettävä maksujen yhteydessä maksajan vahvaa tunnistamista, ei maksupalvelun käyttäjä maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan kuitenkaan vastaa maksuvälineensä oikeudettomasta käytöstä, jos maksupalveluntarjoaja ei ole maksuvälineen oikeudettoman käytön yhteydessä edellyttänyt maksajan vahvaa tunnistamista. Näin ollen salliessaan maksutapahtumia tehtävän ilman maksajan vahvaa tunnistamista ottaa pankki vastuulleen riskin maksuvälineen oikeudettomasta käytöstä.

Tässä tapauksessa asiakkaan verkkopankin sisällä tehdyt em. siirrot asiakkaan käyttötilille ovat rikollisten oikeudettomasti tekemiä ja koska pankki on sallinut siirtojen tekemisen ilman maksajan vahvaa tunnistamista, vastaa pankki näistä siirrosta.

Pankkilautakunta toteaa, että asiassa aiheutunut vahinko on tässä tapauksessa realisoitunut, kun asiakas on edellä esitetyn tavoin antanut maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtumien toteuttamiselle, minkä johdosta asiakas lähtökohtaisesti vastaa maksuista aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Tapauksessa saadun kokonaisselvityksen perusteella Pankkilautakunta kuitenkin katsoo, että asiassa aiheutuneen vahingon määrään on vaikuttanut ennen em. ulkopuoliselle tehtyjä siirtoja verkkopankissa tehdyt sisäiset siirrot ja se, että pankki on sallinut kyseisten oikeudettomien siirtojen tekemisen ilman vahvaa tunnistamista. Kyseisillä oikeudettomilla tilisiirroilla, jotka vahvan tunnistamisen puutteen vuoksi kuuluvat asiakkaan ja pankin välisessä suhteessa pankin vastuulle, on asiakkaan käyttötilille, jolta varoja on tämän jälkeen siirretty pankin ulkopuolelle, siirretty asiakkaan säästötililtä ja korttiluotolta yhteensä 42.588,00 euroa. Pankkilautakunta katsoo asiassa aiheutuneen vahingon kuuluvan kyseisten tilisiirtojen määrän osalta pankin vastuulle.

Lopputulos

Pankkilautakunta katsoo asiakkaan antaneen ko. ulkopuolisille tehdyille tilisiirroille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ja asiakkaan siten vastaavan tilisiirroista aiheutuneesta vahingosta pankin ja asiakkaan välisessä suhteessa. Edelleen lautakunta kuitenkin katsoo, että vahingon kokonaismäärään on vaikuttanut verkkopankin sisällä tehdyt yhteensä 42.588,00 euron tilisiirrot asiakkaan käyttötilille. Koska pankki on sallinut kyseisten tilisiirtojen tekemisen ilman vahvaa tunnistamista ja siirrot ovat oikeudettomia, vastaa pankki kyseisistä tilisiirroista ja asiassa aiheutuneesta vahingosta siltä osin kuin kyseiset siirrot ovat vahingon kokonaismäärää lisänneet.

Edellä esitettyyn viitaten Pankkilautakunta suosittaa pankkia hyvittämään 40.688,00 euroa ja 1.900,00 euroa tileille, joilta em. oikeudettomat tilisiirrot ilman vahvaa tunnistamista tehtiin.

Ratkaisusuositus syntyi äänin 4–1. Ratkaisusuosituksen antamiseen osallistuivat puheenjohtaja Sillanpää sekä jäsenet Atrila, Punakivi ja Tervonen. Jäsen Ketolan eriävä mielipide on liitteenä.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Atrila
Ketola
Punakivi
Tervonen

Jäsen Ketolan eriävä mielipide:

Olen Pankkilautakunnan enemmistön kanssa eri mieltä ratkaisusuosituksen perusteluista ja lopputuloksesta siltä osin kuin Pankkilautakunnan enemmistö katsoo pankin olevan vastuussa vahingosta niiltä osin kuin verkkopankin sisäiset oikeudettomat siirrot ilman vahvaa tunnistamista ovat lisänneet vahingon kokonaismäärää.

Asian kannalta merkitykselliset lainsäännökset ovat maksupalvelulain 38 § (Maksajan suostumus maksutapahtuman toteuttamiseen), maksupalvelulain 85 c §:n 1 ja 5 momentti (Tunnistaminen), komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artikla (Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot), maksupalvelulain 62 §:n 3 momentin 4 kohta (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) sekä maksupalvelulain 63 §:n 1 momentti (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta).

Olen samaa mieltä Pankkilautakunnan enemmistön kanssa sen osalta kuin ratkaisusuosituksessa on käsitelty asiakkaan suostumusta rikollisille tehtyjen tilisiirtojen osalta. Kyseessä olevat maksutapahtumat eivät ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia ja tämän vuoksi tapauksessa ei ole laissa säänneltyjä perusteita pankin vastuulle näistä maksuista asiakkaalle aiheutuneesta vahingosta. Pankkilautakunnan enemmistöstä poiketen katson, että maksupalvelulain 63 §:n mukainen palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta on säädetty maksutapahtumakohtaiseksi eikä maksupalvelulaki tunnista vastuunjakoarvioinnissa kokonaisselvitykseen perustuvaa harkintaa.

Tapauksessa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista kahden rikollisten tekemän asiakkaan hallussa olevien tiilien välisen tilisiirron yhteydessä komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artiklan perusteella. Maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista. Tarkasteltavien kahden verkkopankissa tehdyn oikeudettoman tilien välisen siirron perusteella asiakkaalle ei kuitenkaan ole syntynyt varallisuusvahinkoa, jonka pankki olisi maksupalvelulain 62 §:n 3 momentin 4 kohdan perusteella velvollinen korvaamaan asiakkaalle. Siirrot on tehty sellaisten tilien välillä, joissa asiakas on tilinomistaja ja siirtojen jälkeen varat ovat olleet edelleen kokonaisuudessaan asiakkaan vallinnassa. Vahinkoedellytyksen täyttymiseksi varojen olisi tullut kyseisten oikeudettomien siirtojen jälkeen päätyä kolmannen osapuolen haltuun. Koska vahingon edellytyksenä on ollut asiakkaan suostumuksella myöhemmin tehdyt maksutapahtumat, asiakkaan hallussa olevien tilien väliset oikeudettomat siirrot eivät ole riittävässä syy-yhteydessä aiheutuneeseen vahinkoon, vaan syy-yhteys on katkennut kun asiakas on antanut suostumuksensa maksutapahtumille. Vaikka pankki ottaisi vastuulleen riskin maksuvälineen oikeudettomasta käytöstä jättäessään vaatimatta vahvaa tunnistamista, riski ei verkkopankissa tehdyissä sisäisissä siirroissa voi realisoitua vahingoksi, koska varoja siirretään ainoastaan asiakkaan hallussa olevien tilien välillä. Maksupalvelulain nojalla maksutapahtumia tulee arvioida erillisinä tapahtumina, jolloin on selvää, ettei sisäisistä siirroista aiheudu korvattavaa vahinkoa.

Pankki palveluntarjoajana on nimenomaisesti edellyttänyt vahvaa tunnistamista niiden maksutapahtumien osalta, joilla varat on siirretty kolmannen osapuolen haltuun ja joilla vahinko on realisoitunut. Asiakkaalle aiheutunut vahinko ei siten ole seurausta maksuvälineen oikeudettomasta käytöstä, vaan asiakas on antanut maksupalvelulain 38 §:n mukaisen suostumuksensa maksutapahtumien toteuttamiselle. Asiakkaan maksutapahtumille antamille suostumuksille on annettava sama merkitys riippumatta siitä, siirretäänkö tilillä alun perin olleita varoja tai sinne verkkopankin sisäisen siirron kautta siirrettyjä varoja. Pankkilautakunnan enemmistön näkemyksen mukainen tulkinta asettaisi eriarvoiseen asemaan sellaiset asiakkaat, joiden koko tilivarallisuus on verkkopankissa vain yhdellä tilillä.

Lopputulos

Katson, että vahinko on aiheutunut maksupalvelulain 38 §:n mukaisella asiakkaan suostumuksella tehtyjen maksutapahtumien seurauksena, joita ei ole pidettävä oikeudettomina. Asiakkaan hallussa olevien tilien väliset ilman vahvaa tunnistamista tehdyt oikeudettomat siirrot eivät ole riittävässä syy-yhteydessä asiakkaan myöhemmin vahvistamilla siirroilla hänelle aiheutuneeseen vahinkoon. Pankkilautakunnan enemmistön kannan hyväksyminen merkitsisi sitä, että asiakkaan omalla toiminnalla ei olisi merkitystä vastuunjaon arvioinnissa, eikä tällainen malli olisi rikoksentorjunnan kannalta tarkoituksenmukainen.

Edellä todetuin perustein katson, että pankki ei vastaa kyseisistä tilisiirroista ja asiassa aiheutuneesta vahingosta miltään osin, eikä Pankkilautakunnan tulisi suosittaa pankkia hyvittämään 40.688,00 euroa ja 1.900,00 euroa tileille, joilta oikeudettomat tilisiirrot ilman vahvaa tunnistamista tehtiin.

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä