FINE-71736-K6S2L6

Tapahtumatiedot

Asiakas on joutunut huijauksen uhriksi myydessään kirjahyllyään Tori-palvelun kautta. Ostajaksi tekeytynyt henkilö on ilmoittanut järjestävänsä kirjahyllyn maksun ja toimituksen Tori Diili -palvelun kautta. Tässä tarkoituksessa asiakas on saanut linkin sisältäneen viestin, jonka avulla maksu tuli vastaanottaa. Asiakkaan syötettyä linkin takaa avautuneelle verkkosivustolle kortti- ja pankkitunnustietonsa (käyttäjätunnus, salasana ja tietty luku tunnuslukutaulukosta), pankki lähetti asiakkaalle 30.6. klo 18.23 useita seuraavan sisältöisiä viestejä, joista yksi oli seuraava:

TÄRKEÄÄ! [Pankin nimi] verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovelluksen nimi] uudessa laitteessa. VARO HUIJAUKSIA! ÄLÄ ANNA VAHVISTUSKOODIA KENELLEKÄÄN TAI MILLEKÄÄN VERKKOSIVUILLE. HUIJAUSSIVUSTOT VOIVAT NÄYTTÄÄ [pankin nimi] SIVUILTA. Koodia käytetään vain [pankin mobiilisovelluksen nimi] käyttöönottoon. Jos et ole itse ottamassa [pankin mobiilisovelluksen nimi] käyttöön, älä käytä koodia ja poista tämä viesti. Jos olet itse ottamassa käyttöön [pankin mobiilisovelluksen nimi], anna vahvistuskoodi 7744 laitteesi [pankin mobiilisovelluksen nimi]. Jos epäilet antaneesi verkkopankkitunnuksesi huijaussivulle, soita heti sulkupalveluun 09 XXXX XXXX (pvm/mpm). Terveisin [pankin nimi].

Käyttöönotetuilla pankin mobiilisovelluksilla rikolliset ovat vahvistaneet asiakkaan reklamoimat maksut, joita on tehty asiakkaan tililtä ulkopuolisen henkilön tilille 30.6.2024 klo 19.01–19.06 välisenä aikana yhteensä 4 500 euron arvosta sekä vahvistaneet korttimaksuja klo 18.34–18.47 välisenä aikana yhteensä 9 488,83 euron edestä. Asiakkaan tilille on palautunut 2 086 euroa, joten kokonaisvahingoksi on jäänyt 11 902,83 euroa. Asiakkaan puhelin on Samsung Galaxy A51, ja oikeudettomat maksut vahvistettiin Galaxy A05- ja iPhone XR -laitteilla.

Asiakas sulki korttinsa sekä pankkitunnuksensa klo 19.14.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan vahingoksi jääneen summan 11 902,83 viivästyskorkoineen sekä asiamiehen käytöstä aiheutuneet kulut 1000 euroa. Lisäksi asiakas vaatii pankilta oikeutta vaatia korvausta myös myöhemmin asian hoitamisen yhteydessä mahdollisesti syntyvistä kuluista.

Asiakas vetoaa valituksessaan laajalti maksupalvelunlain säännöksiin, kuten 46a§, 54§, 56§, 57§, 62§, 63 § sekä 74§ ja lain esitöihin sekä myös oikeuskäytäntöön (KKO: 2018:71 ja Itä-Suomen hovioikeus 462 S24/214, joka annettu 13.11.2024) ja FINEn Pankkilautakunnan ratkaisusuosituksiin.

Asiakas on asiamiehen välityksin tehnyt FINEn Pankkilautakunnalle ratkaisupyynnön, ja kertonut seuraavaa:

Asiakas perustelee vaatimuksiaan pääpiirteissään sillä, ettei ole toiminut törkeän huolimattomasti antaessaan myyntitilanteessa pyydettyjä tietoja maksun vastaanottamista varten. Asiakas ei osannut epäillä tai ymmärtää, että kyseessä olisi huijaus. Vasta sen jälkeen, kun hänen tyttärensä soitti ja kertoi vastaavista Tori Diili -huijauksista, hän ymmärsi, että kyseessä voisi olla myös tässä tilanteessa huijaus.
Asiakas vetosi myös siihen, että hän ei ole vahvistanut itse mitään maksuja. Hän huomasi pankin lähettämän viestin, jossa varoitettiin mahdollisesta huijauksesta, vasta illalla tapahtuman jälkeen. Asiakkaalle selvisi seuraavana päivänä asioidessaan pankin konttorissa, että tililtä oli oikeudettomasti siirtynyt yhteensä 4 786 euroa. Koska tunnukset oli edellisenä päivänä jo suljettu, hän oletti kokonaisvahingoksi jääneen em. summan.

Muutamaa päivää myöhemmin, asiakkaan saadessa uudet pankkitunnukset postissa, hän huomasi verkkopankkiin kirjautuessaan, että tilitapahtumissa näkyi vielä kaksi korttitapahtumaa yhteissummaltaan 9 202,83 euroa. Näitä kyseisiä maksuja ei hänen ensimmäisellä kerrallaan pankissa asioidessaan näkynyt. Asiakkaan kysyessä näistä pankista, hänelle kerrottiin, että kyseiset tapahtumat olivat katevarauksia, jotka olivat myöhemmin veloittuneet.

Huolimattomuuden arviointi

Asiakas ei ole kiistänyt syöttäneensä pankkitunnustietojaan sivustolle, jolle hän päätyi saamansa linkin kautta. FINElle toimittamassaan kirjelmöinnissä hän on kertonut olleensa helpottunut saatuaan kirjahyllynsä myytyä muuton keskellä. Hän ei ole ollut tietoinen vastaavanlaisista huijauksista ennen kuin hänen tyttärensä epäili sitä ja neuvoi sulkemaan pankkitunnukset välittömästi. Tyttären nopean toiminnan ansiosta rikollinen ei ehtinyt tyhjentää tiliä kokonaan, ja vahingon määrää saatiin rajattua.

Asiakas kuitenkin on kiistänyt toimineensa missään vaiheessa törkeän huolimattomasti, mikä on maksupalvelulain 62 §:n, pankin digitaalisten ehtojen sekä korttiehtojen mukaan edellytys hänen vastuulleen aiheutuneista vahingoista.

Syötettyään pankkitunnukset huijaussivustolle hän ei ollut saanut mitään erillisiä vahvistusviestejä, joilla olisi voinut vahvistaa lähtevät maksut. Tässä yhteydessä hän totesi, että viimeistään siinä vaiheessa hän olisi kyllä tunnistanut huijauksen, koska hän nimenomaan odotti rahaa tilille, eikä itse maksanut mitään. Hän ei ole kertomansa mukaan missään vaiheessa luovuttanut mitään vahvistuskoodeja kenellekään.
Vasta illalla myöhemmin hän huomasi pankilta tulleet viestit, joissa varoitettiin mahdollisesta huijauksesta. Asiakas on todennut myös, että pankki on itse antanut aktivointikoodit huijareiden käyttöön, koska asiakkaan puhelin on ollut aina merkiltään Samsung Galaxy A51 ja oikeudettomat maksut on vahvistettu S-mobiililla, joka oli ladattu Galaxy A05- sekä iPhone XR -mallisiin puhelimiin. Koska asiakas ei saa lähetetyistä tekstiviesteistä koskaan hälytystä, hän ei ole voinut lukea viestejä tapahtumahetkellä; aktivointikoodien on siten täytynyt mennä myös suoraan huijareiden laitteisiin.

Asiakas on tottunut käyttämään digitaalisia palveluita, ja FINE:lle toimittamassaan kirjelmöinnissä todetaan hänen olevan korkeasta iästään huolimatta hyvin digikyvykäs. Tämän ovat vahvistaneet myös asiakkaan tyttäret FINE:lle toimittamassaan lausunnossa. Asiakkaan mukaan nykypäivän digitaalisissa palveluissa käytetään yleisesti erilaisia linkkejä, eikä keskivertokuluttajan ole enää mahdollista varmuudella erottaa, mikä linkki on aito ja mikä ei. Asiakkaan näkemyksen mukaan olisi kohtuutonta tulkita, että minkä tahansa linkin avaaminen katsottaisiin automaattisesti törkeäksi huolimattomuudeksi, sillä tällainen tulkinta johtaisi hänen mukaansa käytännössä mahdottomaan tilanteeseen.

Asiakas on valituksessaan viitannut myös erääseen opinnäytetyöhön, ja tarkemmin kohtiin, joissa on käsitelty asiakkaan huolimattomuuden ja törkeän huolimattomuuden rajanvetoa asiakkaan toiminnassa huijaustilanteessa. Asiakas on vedonnut tähän pääpiirteittäin seuraavalla tavalla: Asiakkaan menettelyn arviointi on tapauskohtaista ja kokonaisharkintaa edellyttävää. Huolellisen ja huolimattomuuden menettelyn arvioinnin raja on olennainen, koska sillä ratkaistaan kokonaisvastuun määräytyminen asiakkaan ja pankin välillä. Törkeän menettelyn raja tulee pitää korkeana, joka tarkoittaisi esimerkiksi sitä, että törkeän huolimattomuudella tarkoitetaan, että asiakkaan menettely pitää selkeästi ja olennaisesti poiketa siitä, mitä voidaan katsoa huolelliselta pankkitunnusten käyttäjältä edellytettävän. Lisäksi maksupalvelulain muuttamisen historia asiakkaan mielestä osoittaa lain tarkoituksen suojata kuluttajaa jatkuvassa teknologian kehittymisessä, koska pankeilla on paremmat edellytykset estää mahdollisia huijauksia myös niissä tilanteissa, joissa asiakas on omalla käytöksellään edesauttanut vahingon syntymistä.

Pankin vastuusta estää huijaustapahtuma

Asiakas on vedonnut myös maksupalvelulain vaatimuksiin, joiden mukaan pankin olisi tullut sulkea hänen tilinsä heti, kun epärehellinen toiminta havaittiin. Hän on viitannut pankin lähettämään tekstiviestiin, jossa varoitettiin mahdollisista huijauksista uuden sovelluksen aktivoinnin yhteydessä. Pankki on palauttanut osan oikeudettomista maksuista sekä korttitapahtumista saatuaan tiedon huijauksesta. Asiakkaan toistuvista pyynnöistä huolimatta pankki ei ole antanut selvitystä siitä, miksi vain osa maksuista on palautettu. Asiakas katsookin, että pankin vaikeneminen merkitsee hiljaista hyväksyntää; eli pankki on vastaamattomuudellaan tunnustanut tienneen, että kyseessä on ollut käynnissä oleva huijaustapahtuma.

Asiakkaan mukaan pankki on havainnut väärinkäytökset tilillä 30.6. klo 18.23 alkaen, mutta ei ole ryhtynyt toimenpiteisiin tapahtumien estämiseksi. Huijaustapahtuma kesti yli 30 minuuttia, eikä pankki reagoinut siihen lainkaan. Asiakas on viitannut myös maksupalvelulain esitöihin, joissa painotetaan pankin huolellisuusvelvoitetta asiakasta kohtaan. Asiakkaan näkemyksen mukaan pankki ei ole noudattanut maksupalvelulain velvoitteita palveluntarjoajan vastuusta estää maksuvälineen käyttö sen jouduttua oikeudettomasti toisen haltuun tai tultua ilmoitetuksi kadonneeksi. Pelkkä varoittava tekstiviesti ei riitä, vaan tili olisi pitänyt estää käytöltä ja asiakkaaseen ottaa viipymättä yhteyttä, esimerkiksi soittamalla hänelle. Pankki ei ole toiminut huijaustilanteissa muiden pankkien tavoin, koska se ei ole estänyt huijaustapahtumaa, vaikka on siitä asiakkaan mukaan tiennyt. Pankki ei ole tässä toiminut edes omien toimintatapojensa mukaisesti. Asiakas on vedonnut myös pankin aiempiin saamiin seuraamusmaksuihin tietoturvaloukkauksissa ja viittaa niillä myös asiakkaan tapauksessa heikkoon tietoturvasuojaan, mikä on hänen mukaansa aiheuttanut vahinkoa.

Tämän lisäksi asiakas toteaa, että hän on tehnyt pankin kanssa sopimuksen tilin turvarajoista, jotka sitovat molempia osapuolia. Tämän sopimuksen mukaisesti turvaraja ovat olleet korttimaksuissa 500 euroa, tilisiirroissa 2000 euroa sekä käteisnostoissa 300 euroa. Huijareiden tekemät oikeudettomat maksut ylittävät selvästi nämä em. turvarajat. Tilin tavanomainen käyttö on kuukausitasolla ollut noin 40-50 euroa.

Katevarauksien poistamisesta

Asiakas on kiistänyt antaneensa suostumusta myöskään tilillä näkyviin katevarauksiin. Hän on viitannut tässä maksupalvelulain 46a §:ään, jonka mukaan pankki saa tehdä katevarauksen vain, jos maksaja on siihen nimenomaisesti suostunut ja suostumuksessa on yksilöity tarkka katevarauksen rahamäärä. Asiakas ei ole tällaista suostumusta antanut.

Katevarausten summat poikkeavat asiakkaan tavanomaisesta tilinkäytöstä, minkä vuoksi asiakkaan mukaan pankin olisi tullut havaita poikkeama ja estää maksut. Asiakas perustelee tätä maksupalvelulain mukaisella palveluntarjoajan velvollisuudella ennakoida ja ehkäistä vahinkojen syntyminen. Kyseiset katevaraukset ovat toteutuneet sen jälkeen, kun asiakas oli jo sulkenut pankkitunnuksensa ja maksukorttinsa sekä ilmoittanut pankille tapahtuneesta huijauksesta. Lisäksi asiakas oli tehnyt asiasta rikosilmoituksen.

Näin ollen asiakkaan näkemyksen mukaan katevarauksina toteutuneet korttiostot ovat oikeudettomia, koska maksutapahtumissa ei ole varmistettu hänen henkilöllisyyttään vahvalla tunnistautumisella. Tähän perustuen hän vetoaa maksupalvelulain 74 §:ään, jonka mukaan vastuu tapahtumista ei ole ainakaan asiakkaalla.

Asiamiehen käytöstä sekä niistä aiheutuneista kuluista

Asiakas on todennut myös, että asiamiehen käyttö on ollut välttämätöntä, koska hän on sopimussuhteessa heikompi osapuoli. Asian hoitaminen on vaatinut oikeudellista osaamista johtuen pankin ylimalkaisesta tavasta käsitellä asiaa. Asiakas on kuvannut pankin toiminnan asian käsittelyssä käsittämättömäksi, täysin piittaamattomaksi ja välinpitämättömäksi. Hän on useilla eri tavoilla pyrkinyt hoitamaan asiaa pankin kanssa, mutta ei ole saanut vastauksia kaikkiin esittämiinsä kysymyksiin, ja pankin antamat vastaukset ovat olleet nimettömiä sekä osin päiväyksettömiä. Asiakkaalla ei ole ollut muuta vaihtoehtoa kuin hankkia asiamies, jotta hänen asiansa käsitellään asianmukaisesti.

Asiakas on vedonnut FINEn ratkaisuun FINE-049906, jossa on käsitelty asiamiehen käytöstä aiheutuneista kuluista ja niiden korvaamisesta ja hänen mielestään myös tässä tapauksessa asiamiehen käyttö ja siitä aiheutuneiden kulujen korvaaminen on perusteltua.

Pankin vastine

Pankki kiistää asiakkaan korvausvaatimuksen kokonaisuudessaan.

Pankin antaman selvityksen mukaisesti kaikki reklamoidut tilisiirrot on vahvistettu pankin mobiilisovelluksella. Mobiilisovellus, jolla reklamoidut tilisiirrot on vahvistettu, on ladattu laitteelle Galaxy A05 30.06.2024 klo 18.38.

Reklamoidut korttiostot ovat tehty asiakkaan kortilla ja vahvistettu Visa Secure -tunnistuspalvelussa pankin tunnistussovelluksella, joka on ladattu laitteelle iPhone XR 30.06.2024 klo 18.24. Tapahtumapäivänä 30.06.2024 kortin vuorokausittainen verkkomaksuraja on ollut 10 000,00 euroa. Kortin vuorokausittaisen verkkomaksuraja 2000,00 euroon on muutettu 10.7.2024.

Tunnistussovelluksien käyttöönottoihin on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja ainakin yksi satunnaisesti valittu tunnuslukutaulukon tunnusluku sekä tekstiviestillä lähetetty vahvistuskoodi. Tunnuslukutaulukko, jota pankin mobiilisovelluksen käyttöönotossa on käytetty, on vain asiakkaan hallussa. Pankilla ei ole tunnuslukutaulukoita tai niiden sisältämiä tunnuksia, jotka sivullinen voisi saada haltuunsa.

Pankki on lähettänyt useita sovelluksen käyttöönottoon tarvittavia vahvistuskoodeja tekstiviestillä 30.6.2024 kello 18.23 asiakkaan puhelinnumeroon. Viestien sisältö on ollut seuraavanlainen:

Pankin lähettämissä useissa tekstiviesteissä kerrottiin, että lähetetty koodi on pankin mobiilisovelluksen aktivointia varten ja varoitettiin antamasta koodia kenellekään. Asiakas kuitenkin luovutti koodeja ja käyttäjätunnuksensa sekä salasanansa huijaussivustolle, minkä vuoksi huijari sai ladattua mobiilisovellukset omille laitteilleen ja näin vahvistettua reklamoidut maksut. Pankin viestissä myös pyydettiin ottamaan yhteyttä pankkiin, jos asiakas ei ollut itse ottamassa käyttöön tunnistussovellusta.

Pankki on selvittänyt tekstiviestien lähettämisen ja taustajärjestelmän mukaan viesti on lähetetty onnistuneesti asiakkaan puhelinnumeroon.

Asiakas on sulkenut pankkitunnuksensa sekä korttinsa 30.6. klo 19.14. Reklamoidut tapahtumat on tehty 30.6. klo 18.34–19.06 välisenä aikana, ennen pankkitunnusten ja kortin sulkuilmoitusta.

Asiakas on toiminut pankin digitaalisten yleisten ehtojen tunnistusvälineiden säilyttämistä koskevan kohdan vastaisesti luovuttaessaan verkkopankkitunnuksensa sekä mobiilisovelluksen lataamiseen tarvittavia vahvistuskoodeja rikollisten haltuun syöttämällä verkkopankkitunnuksensa huijaussivustolle, johon hän on saanut linkin. Pankki pitää selvänä, että asiakkaan on täytynyt antaa vahvistuskoodeja rikollisten haltuun tai hänen on täytynyt säilyttää laitettaan niin huolimattomasti, että joku kolmas on voinut antaa koodit rikollisille.

Lisäksi asiakas on syöttänyt korttitietonsa huijaussivustolle pankin korttiehtojen kortin ja tunnusluvun säilyttämistä koskevan kohdan vastaisesti, vaikka hän ei ole ollut tekemässä ostosta. Korttiostojen toteuttamiseen on verkkopankkitunnuksilla käyttöönotetun mobiilisovelluksen lisäksi tarvittu myös kortin tiedot (mm. kokonainen korttinumero). Asiakas ei ole kiistänyt antaneensa korttitietoja linkin takaa avautuneelle sivustolle. Pankki katsoo, että tässä vaiheessa asiakkaan olisi tullut ymmärtää kyseessä olleen huijaussivusto eikä antaa kortin maksutietoja sivustolle, jossa hän ei ole ollut ostamassa mitään.

Pankki kiistää asiakkaan kirjelmässään esittämät väitteet siitä, että pankki olisi ollut tietoinen käynnissä olevasta huijaustapahtumasta. Asiakkaan pankkitunnusten sulkemisen jälkeen hänen vastuunsa on päättynyt maksupalvelulain mukaisesti sulkuilmoituksen tekohetkellä.
Katevarausten osalta pankki toteaa, että kortin tiedoilla tehdyistä maksutapahtumista muodostuu tilille katevaraus, joka on kauppiaalle veloituslupa. Veloitusajankohta tapahtuu siinä vaiheessa vasta kun kauppias lähettää pankille tiedot veloitustapahtumasta. Pankki ei voi poistaa katevarauksia, eikä esimerkiksi tilin, kortin tai pankkitunnusten sulkeminen estä aiemmin tehdyn katevarauksen veloittumista tililtä.

Pankki katsoo, että asiakas on toiminut kokonaisuutena arvioiden maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti luovuttaessaan verkkopankkitunnuksensa ja mobiilisovelluksen lataamiseksi tarvittavat vahvistuskoodit rikollisen haltuun. Lisäksi asiakkaan väite pankin hiljaisesta hyväksynnästä on perusteeton. Näin ollen asiakas vastaa reklamoiduista tapahtumista täysimääräisesti. FINEn käsittely on asiakkaalle maksutonta eikä se vaadi asiamiehen käyttöä, joten pankki toteaa myös asianhoitokulujen jäävän kokonaisuudessaan asiakkaan vastuulle.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

Pankin päätös korttireklamaatioon
Asiakkaan tekemä rikosilmoitus 3.7.2024 ja ilmoituksen täydennys 10.7.2024
Asiakkaan lähettämiä viestejä ja selvityspyyntöjä pankille.
Kuvakaappaus huijaussivustosta
Asiakkaan tyttärien antama selvitys
Pankin digitaalisia palveluja koskevat yleiset ehdot
Pankin korttiehdot
Tilikohtaisia selvityksiä oikeudettomista maksuista ja palautuksista

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi asiassa on arvioitava, onko maksuvälineen oikeudeton käyttö johtunut siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on ollut.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Pankin digitaalisten yleisten ehtojen tunnistusvälineiden säilyttämistä kohdan mukaan:

Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovellus] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle. Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovellus] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa. Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa. Huomioi erityisesti seuraavat asiat: Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle. Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
(…)

Pankin Kortin ja tunnusluvun säilyttämisestä koskevan kohdan mukaan:

Kortti ja kortin tiedot sekä kortin tunnusluku ovat henkilökohtaisia eikä niitä saa luovuttaa toisen käyttöön.
(…)

Asian arviointi

Tapahtuman kulku

Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän, pankin järjestelmätietoihin perustuvan selvityksen paikkansapitävyyttä.
Pankkilautakunta katsoo selvitetyksi ja riidattomaksi, että asiakas on saanut huijarilta viestin, jonka linkin kautta hän on siirtynyt rikollisten luomille valesivuille ja syöttänyt sinne kortti- ja pankkitunnustietonsa. Rikolliset ovat käyttäneet näitä tietoja aktivoidakseen pankin mobiilisovelluksia omille laitteilleen.

Pankki on lähettänyt asiakkaalle tekstiviestitse mobiilisovelluksen aktivointikoodit, jotka asiakas on syöttänyt valesivustolle, minkä seurauksena rikolliset ovat saaneet sovelluksen aktivoitua omaan käyttöönsä.

Nyt arvioitavassa tapauksessa asiakas on kiistänyt luovuttaneensa vahvistuskoodeja mihinkään, mutta niitä on käytetty pankin mobiilisovelluksen aktivointiin. Pankin järjestelmätietojen mukaan tekstiviestit on lähetetty asiakkaan omaan puhelinnumeroon. Lautakunta katsoo, että pelkästään pankkitunnus- ja korttitietojen syöttäminen ei olisi mahdollistanut varojen oikeudetonta käyttöä, vaan se on edellyttänyt myös vahvistuskoodien syöttämistä.

Asiassa saadun selvityksen perusteella ja erityisesti pankin mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin sisällön huomioiden Pankkilautakunta katsoo, ettei ole muuta vaihtoehtoa kuin se, että asiakas on syöttänyt pankin tekstiviestitse lähettämät koodit verkkosivuille mahdollisesti lukematta viestin sisältöä tai ainakin sen sisältöä menettelyssään huomioimatta. Lautakunta katsoo asiakkaan menettelyn tämän johdosta osoittavan hänen suhtautuvan selvästi piittaamattomasti maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnusten haltijan huolelliselta menettelyltä vaaditaan.

Asiassa saadun selvityksen perusteella rikollisilla on täytynyt olla tiedossaan myös asiakkaan korttitiedot, ja lautakunta katsoo, että asiakas on syöttänyt edellä mainituille valesivuille myös korttitietonsa. Nyt kyseessä olevat oikeudettomat korttimaksut rikolliset ovat tehneet asiakkaan korttitietoja käyttäen ja edellä mainitulla pankin mobiilisovelluksella vahvistaen.

Asiakkaan menettelyn arviointi

Soveltuvissa pankkitunnusehdoissa kielletään nimenomaisesti verkkopankkitunnusten luovuttaminen tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin pankin hyväksymille palveluille ja sovelluksille sekä verkkopankkitunnusten antaminen sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella. Ehdoissa kielletään myös kirjautuminen pankin digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.

Asiakkaan syötettyä pankkitunnustietojaan sekä korttitietojaan maksun vastaanottamista varten hänelle entuudestaan tuntemattoman henkilön lähettämän linkin kautta avautuneilla sivuilla Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n sekä pankkitunnusehtojen mukaisia velvollisuuksiaan.

Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit.
Asiakkaan saadessa poikkeuksellisesti tunnistussovelluksen aktivointikoodin sisältäneen tekstiviestin, hänen olisi tullut ymmärtää kyseenalaistaa yhteydenoton asianmukaisuus ja jättää koodi syöttämättä verkkosivuille. Tekstiviestissä on selkeästi kerrottu, mihin koodia käytetään, ja varoitettu huijauksista. Mikäli asiakas olisi noudattanut viestin ohjeita ja ottanut yhteyttä pankkiin ennen koodin syöttämistä, vahinko olisi voitu estää.

Asiakkaan viittaamat Korkeimman oikeuden ratkaisu KKO 2018:71 ja Itä-Suomen hovioikeuden ratkaisu 462 S24/214 eivät vastaa nyt käsillä olevaa tapausta. Korkeimman oikeuden ratkaisussa oli kyse tilanteesta, jossa pankkikortti ja sen tunnusluku olivat päätyneet sivullisen haltuun ja korttia oli käytetty oikeudetta. Itä-Suomen hovioikeuden ratkaisussa puolestaan oli kyse tilanteesta, jossa asiakas oli syöttänyt pankilta saamansa koodin valesivustolle siinä käsityksessä, että hän peruuttaa rikollisen tekemän maksun.

Pankkilautakunta katsoo asiakkaan kortin ja pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan. Ottaen huomioon kortti- ja pankkitunnusten syöttämisen sovellettavien ehtojen vastaisesti linkin kautta avautuneille sivuille sekä pankin tekstiviestitse lähettämän vahvistuskoodin syöttämisen em. sivustolle tekstiviestin sisältöä ymmärtämättä, lautakunta katsoo asiakkaan menettelyn kokonaisuutena arvioiden osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Näin ollen asiakkaan ja pankin välisessä suhteessa asiakas vastaa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.

Pankin menettelystä

Pankkilautakunta toteaa, että maksupalvelusääntelyn perusteella pankeilla on oltava käytössään maksutapahtumien valvontamekanismit, joiden avulla ne voivat havaita oikeudettomat ja petolliset maksutapahtumat. Tällä velvollisuudella ei kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta.

Tässä tapauksessa asiakas on vedonnut siihen, että pankki on tunnistanut kyseessä olevan huijaustilanteen, koska se on lähettänyt asiakkaalle varoitusviestejä sekä palauttanut osan huijauksen seurauksena veloitetuista varoista oma-aloitteisesti. Tästä huolimatta pankki ei ole ryhtynyt toimenpiteisiin huijaustapahtumien katkaisemiseksi tai estämiseksi. Lisäksi pankki ei ole noudattanut asiakkaan kanssa sovittuja turvarajoja koskien tili- ja korttimaksuja.
Pankki on lähettänyt asiakkaalle useita uuden mobiilisovelluksen aktivointikoodeja sisältäneitä viestejä. Kyseisissä viesteissä varoitetaan aina asiakasta mahdollisesta huijauksesta, ja kerrotaan, mitä asiakkaan tulee tehdä, mikäli hän ei itse ole asentamassa uutta mobiilisovellusta.

Pankkilautakunta katsoo, että pankki ei ole ollut tietoinen käsillä olevasta huijauksesta; pankin puolelle tapahtumat ovat näyttäytyneet asiakkaan omana toimintana, kun kirjautuminen pankin verkkopankkiin on tehty asiakkaan omilla pankkitunnuksilla ja maksut vahvistettu asiakkaan omiin tunnuksiin liitetyllä mobiilisovelluksella. Kun rikollisella on ollut hallussaan asiakkaan pankkitunnukset sekä pankin mobiilisovellus, hän on pystynyt muuttamaan myös mahdollisia turvarajoja tili- ja korttimaksujen osalta itse.

Pankkilautakunta katsoo, että pankki ei siten ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa, sillä perusteella, että pankki ei ole estänyt ko. oikeudettomia maksuja eikä pankki ole nk. hiljaisesti hyväksynyt tapahtumaa.

Lautakunta toteaa myös, että katevaraus syntyy asiakkaan ja maksunsaajan keskenään tekemien oikeustoimien mukaisesti ja perusteella, eikä pankilla ole lakiin, korttiehtoihin tai maksujenvälitystä koskeviin ehtoihin perustuvaa mahdollisuutta omatoimisesti tai pelkästään asiakkaan yksipuolisen ilmoituksen perusteella tätä estää. Myöskään kortin tai pankkitunnusten sulkeminen ei estä aiemmin tehtyjen katevarausten veloittumista tililtä. Tämän vuoksi pankki ei ole voinut estää katevarausten poistumista oikeudettomien maksutapahtumien osalta, vaikka pankkitunnukset sekä kortti olivat jo suljettu.

Lautakunnalla ei ole tarpeen arvioida asiamiehen käytöstä syntyneitä kuluja.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Haapsaari

Jäsenet:
Atrila
Piilo
Punakivi
Tervonen

Haku