FINE-71745-L5W5S8

Tapahtumatiedot

Asiakkaan verkkopankkitunnuksilla ja pankin asiakkaan puhelinnumeroon 10.10.2024 klo 08:31:41 lähettämän tekstiviestin sisältämällä aktivointikoodilla on aktivoitu käyttöön uusi pankin tunnistussovellus uudelle laitteelle. Em. tunnistussovellusta käyttäen asiakkaan tililtä on tehty 25.10.2024 428,93 euron tilisiirto.

Tunnistussovelluksen käyttöönotto on edellyttänyt tekijältään asiakkaan pankkitunnusten käyttäjätunnusta ja salasanaa sekä pankin asiakkaalle 10.10.2024 klo 08:31:41 lähettämässä tekstiviestissä ollutta vahvistuskoodia. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:

”+[XXXXXXXXXXXX] Hei! Pankkitunnuksellasi ollaan ottamassa [pankin tunnistussovellusta] käyttöön mobiililaitteelle, Jos olet itse tekemässä käyttöönottoa puhelimellasi tai tabletillasi, tarkista viesti-id [XXXXX] ja syötä vahvistuskoodi [XXXXXX] [pankin tunnistussovellukseen]. Jos et ole itse tekemässä käyttöönottoa, sulje tunnuksesi soittamalla [XXX XXX].”

Tunnistussovelluksen aktivoinnin jälkeen pankki on lähettänyt asiakkaalle klo 08:33:12 vielä seuraavanlaisen viestin:

”+[XXXXXXXXXXXX] Varoitus! Pankkitunnuksellasi on otettu [pankin tunnistussovellus] käyttöön mobiililaitteelle. Jos et itse tehnyt käyttöönottoa, sulje tunnuksesi soittamalla [XXX XXX] (24/7).”

Asiakas soittanut pankkiin sulkeakseen kortin ja verkkopankkitunnukset 25.10.2024 huomattuaan pankin hänelle lähettämät viestit, jotka koskivat asiakkaan korttien liittämistä Apple Payhin.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan 428,93 euroa.

10.10.2024 asiakas ei ole saanut pankilta viestejä pankin tunnistussovelluksen aktivoinnista. Muutoin asiakas olisi reagoinut heti ja sulkenut kortin välittömästi. Asiakas ei myöskään kirjautunut kyseisenä päivänä pankkitunnuksilla mihinkään. Lisäksi ei ole mahdollista, että asiakkaan puhelin olisi ollut toisen henkilön käytössä, koska asiakas oli yksin kotona, kuten melkein aina. Asiakkaan mukaan 10.10. päivä on helppo muistaa koska se on Aleksis Kiven päivä ja asiakkaan ystävän syntymäpäivä.

Asiakas ei ole luovuttanut aktivointikoodia kenellekään koskaan, ei missään tilanteessa. Eikä muutenkaan mitään pankkitunnuksia tai pankkitietoja eikä pankkikorttia. Asiakkaan on vaikea sanoa, miten joku on päässyt hänen tililleen. Asiakas ei kuitenkaan ole ikinä käynyt Amsterdamissa eikä Marokossa.

Asiakkaalle tuli pankista viestit 24.10.2024, että asiakkaan pankkikortti on liitetty Apple Payhin. Asiakas ei ole tehnyt liittämistä itse. Asiakas näki 25.10.2024 herättyään pankin lähettämät viestit, soitti välittömästi pankkiin ja asiakkaan kortti kuoletettiin. Pankin virkailija katsoi asiakkaan tilitapahtumia ja kertoi, että asiakkaan tililtä on maksettu 428,93 euroa 24.10.2024. Asiakas ei ole maksanut kyseistä maksua itse. Asiakkaan tilit suljettiin ja pankki kehotti asiakasta tekemään rikosilmoituksen. Asiakas teki rikosilmoituksen 29.10.2024, kun asiakas oli saanut uudet pankkitunnukset käyttöönsä.

Asiakas ei koskaan käytä pankkitiliään tai pankkikorttiaan yöllä. Asiakas ihmettelee, miten Apple Payhin on voitu liittää asiakkaan tili yöllä ja asiakkaalle tuli ilmoitus aamulla, kun asiakas avasi puhelimen aamulla ja näki pankin viestit.

Pankista tuli seuraava viesti asiakkaan verkkopankkiin 31.10.2024:

”Palautuspyyntö käsitelty koskien 428,93 tilisiirtoa saajalle [X]. Valitettavasti palautuspyyntöön on tullut kielteinen päätös. Suosittelemme selvittämään vielä asiaa [X]:n kanssa.”

X:ään asiakas ei ole ollut yhteydessä, koska ei löytänyt mitään yhteystietoja.

Pankin vastine

Asiakkaan Visa Credit/debit kortti -XXXX ja -XXXX kortti on liitetty mobiilipankin kautta Apple Payhin oikeudettomasti 24.10.2024. Oikeudeton tapahtuma on tehty kuitenkin tilisiirtona 25.10.2024. Oikeudettoman tapahtuman summa on 428,93 euroa.

Pankin lokitietojen perusteella Apple Pay maksutapaan liitetty virtuaalinen korttinumero (token) on muodostettu 25.10. klo 03.53–03.54. Maksutapa on tällöin otettu käyttöön laitteelle Mobile phone- 9878 ja liitos on tehty pankin mobiilipankissa.

Asiakas ei ole kertonut reklamaatiossaan paljoakaan tapahtuneesta. Jotta petoksentekijä on saanut tunnistussovelluksen aktivoitua käyttöön, on asiakkaan täytynyt luovuttaa aktivointikoodi petoksentekijälle jotenkin. Koodin luovutus on voinut tapahtua samaan aikaan kun petoksentekijä on saanut haltuunsa asiakkaan verkkopankkitunnukset. Pankin näkemyksen mukaan asiakkaan on täytynyt syöttää verkkopankkitunnuksensa huijaussivustolle, mistä petoksentekijä on saanut asiakkaan verkkopankkitunnukset haltuunsa ja kirjautunut näillä pankin mobiilipankkiin omalla laitteellaan. Lokitiedot näyttävät, että asiakkaan tiedoilla on rekisteröity uusi pankin tunnistussovellus 10.10.2024. Järjestelmä lähettää tekstiviestin aktivoinnista asiakastiedoissa olevaan numeroon. Asiakkaalle on liitoksesta lähtenyt viestit numeroon +XXXXXXXXXXXX (asiakkaan käytössä oleva puhelinnumero).

Klo 08:31:41

Klo 08:33:12

Järjestelmän mukaan tekstiviestit on lähetetty onnistuneesti asiakkaalle. Pankki on kysynyt, onko mahdollista, että jollain toisella henkilöllä on ollut pääsy asiakkaan puhelimeen liitoshetkellä ja tämä toinen henkilö olisi luovuttanut koodin petoksentekijälle.

Pankin lokitietojen perusteella 10.10.2024 kun tunnistussovellus on otettu käyttöön asiakkaan tunnuksilla, on asiakkaan verkkopankkiin kirjauduttu toisesta IP-osoitteesta Amsterdamissa. Verkkopankkiin on kirjauduttu selaimen kautta klo 08.30 ja koska petoksentekijä on tällöin saanut tunnistussovelluksen aktivoitua käyttöön, on hän sillä päässyt kirjautumaan verkkopankkiin.

Lokitiedoista pankki on nähnyt myös sen, että verkkopankkiin on kirjauduttu toisesta IP-osoitteesta 08.34 ja tässä kirjautumisessa on käytetty avaintunnuskorttia. Kirjautumisesta on lähetetty asiakkaan numeroon tekstiviesti, jossa on tekstiviestilisävahvistuskoodi.

”Viesti-id [XXXXX]. Vahvista sisäänkirjaus palveluun. Vahvista vahvistuskoodilla [XXXXXX]. [Pankki].”

Tämän kirjautumisen aikana on laskun tilaa muutettu sekä tarkistettu erääntyvät maksut.

Tunnusten luovutus on voinut tapahtua siinä kohtaa, kun asiakas on luullut kirjautuvansa verkkopankkiin mutta onkin kirjautunut huijaussivustolle, josta sitten tunnukset on saatu kalastettua. Kuitenkin lokitiedot näyttävät sen, että verkkopankkiin on kirjauduttu ensin petoksentekijän toimesta mutta tämän jälkeen vaikuttaa siltä, että toinen kirjautuminen on asiakkaan oma.

Jotta petoksentekijä on saanut pankin tunnistussovelluksen aktivoitua käyttöön, on asiakkaan täytynyt luovuttaa aktivointikoodi petoksentekijälle. Kun petoksentekijällä on ollut tiedossa asiakkaan verkkopankkitunnukset sekä hänellä on pankin tunnistussovellus aktiivisena, pääsee petoksentekijä asiakkaan mobiilipankkiin/verkkopankkiin ilman, että asiakas on siitä tietoinen.

Päivän 25.10.2024 lokitiedoista pankki on nähnyt, että verkkopankkiin on uudelleen kirjauduttu IP-osoitteesta, joka on Amsterdamissa klo 01.40. Tässä sisäänkirjautumisessa on tehty vain tilikysely (tilien saldon tarkistus). Petoksentekijä on kirjautunut asiakkaan verkkopankkiin uudelleen klo 02.19 ja tämän jälkeen tehnyt tilisiirron X:lle.

Asiakkaan verkkopalvelusopimuksen lokitiedot vahvistavat myös sen, että mobiilisovellukseen on kirjauduttu 25.10. klo 03.51 toisesta IP-osoitteesta Marokosta. Petoksentekijä on tuolloin päässyt kirjautumaan asiakkaan mobiiliin ja liittänyt kortit sitä kautta Apple Payhin. Kun petoksentekijällä on tiedossa asiakkaan käyttäjätunnus sekä aktivoitu tunnistussovellus, pääsee hän kirjautumaan asiakkaan mobiilipankkiin, milloin vain ja tämän takia Apple Pay on voitu ottaa käyttöön keskellä yötä ilman, että asiakas on ollut siitä tietoinen.

Pankki on aktiivisesti varoittanut asiakkaitaan tietojenkalastelusta ja antanut ohjeita vastuulliseen asiointiin. Eri palveluntarjoajien nimissä tehdyt huijaukset ovat olleet runsaasti esillä mediassa, ja palveluntarjoajat ovat myös varoittaneet näistä myös omilla sivuillaan. Esim. OmaKanta, OmaVero jne.

Kortin voi liittää Apple Payhin pankin mobiilipankissa painamalla ”Lisää kortti ApplePayhin.” - painiketta, jonka jälkeen valitaan maksutapaan liitettävä kortti. Käyttöehtojen hyväksymisen jälkeen tulee liitos vielä erikseen vahvistaa pankin tunnistussovelluksella. Liitoksesta kertova tekstiviesti lähetetään asiakastiedoissa olevaan numeroon. Asiakkaalle on lähetetty kaksi tekstiviestiä 25.10. klo 03.53-03.54 numeroon +XXXXXXXXXXXX.

”[Pankin] korttisi (kortin neljä viimeistä numeroa: [XXXX]) on nyt liitetty Apple Payhin. Jos et itse tehnyt tätä, ole välittömästi yhteydessä sulkupalveluun p. +[XXXXXXXX] kortin ja tarvittaessa [pankin] pankkitunnusten sulkemiseksi. Ystävällisin terveisin, [pankki].”

Kortilla ei ole kuitenkaan esiintynyt väärinkäyttöä tässä kohtaa, vaan väärinkäyttö on ollut tiliväärinkäyttöä. Asiakas on reagoinut saamiinsa tekstiviesteihin ja soittanut pankkiin sulkeakseen kortin ja verkkopankkitunnukset heti viestit huomattuaan aamulla. Tililtä on kuitenkin keretty yön aikana tekemään tilisiirto.

Vastuunjakopäätöksessä pankki katsoo, että väärinkäyttö kokonaisuudessaan jää asiakkaan vastuulle perustuen maksupalvelulain 62 §:ään Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä ja pankin Henkilöasiakkaan pankkitunnuksilla käytettävien palveluiden yleisiin ehtoihin. Pankki viittaa myös maksupalvelulain 53 §:n 1 momenttiin

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin Henkilöasiakkaan pankkitunnuksilla käytettävien palveluiden yleiset ehdot (käytössä 1.9.2019 alkaen)

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin sekä pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on ollut.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain (290/2010) 53 §:n 1 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Maksupalvelulain 53 §:n 2 momentin mukaan

Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Maksupalvelulain 54 §:n 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelulain 62 §:n mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n 1 momentin mukaan

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin Henkilöasiakkaan pankkitunnuksilla käytettävien palveluiden yleisten ehtojen kohdan Asiakkaan vastuu pankkitunnusten käyttämisestä verkkopalveluissa mukaan

Asiakas vastaa pankkitunnusten oikeudettomasta käytöstä, jos
1. asiakas on luovuttanut tunnukset niiden käyttöön oikeudettomalle
2. tunnusten katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu asiakkaan huolimattomuudesta tai
3. asiakas ei ole ilmoittanut ehtojen mukaisesti pankille tunnusten katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä ilman aiheetonta viivytystä sen havaittuaan ja välittömästi sen jälkeen, kun asiakkaan olisi pitänyt havaita tunnusten oikeudeton käyttö.

Asiakas vastaa pankkitunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos asiakas on luovuttanut tunnukset niiden käyttöön oikeudettomalle.

Asian arviointi

Tapahtumienkulku

Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin tunnistussovelluksen. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo mahdolliseksi, että asiakas on tunnistautumistarkoituksessa syöttänyt pankkitunnustensa käyttäjätunnuksen ja salasanan valesivuille, joiden kautta tiedot ovat päätyneet rikollisille. Rikolliset ovat tiedot saatuaan syöttäneet ne omalle laitteelleen lataamalleen pankin tunnistussovellukselle, minkä seurauksena pankki on lähettänyt asiakkaalle tekstiviestitse 10.10.2024 klo 08:31:41 tunnistussovelluksen aktivointikoodin. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:

Pankki on tämän jälkeen vielä ilmoittanut sovelluksen aktivoimisesta asiakkaalle tekstiviestillään klo 08:33:12:

Aktivoituaan pankin tunnistussovelluksen omalle laitteelleen rikolliset ovat asiakkaalta saatuja pankkitunnustietoja käyttäen tehneet ko. tilisiirron 25.10.2024.

Tapahtuneen arviointi

Asiakas vastaa verkkopalvelutunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos oikeudeton käyttö johtuu siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja verkkopalvelutunnusten yleisten ehtojen mukaisia velvollisuuksiaan, ja asiakkaan huolimattomuuden katsotaan olevan törkeää. Asiakas vastaa verkkopalvelutunnusten huolellisesta säilyttämisestä, koska viime kädessä ainoastaan maksuvälineenhaltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän maksuvälinettään säilyttänyt.

Tilanteissa, joissa maksuvälinettä on käytetty oikeudetta, on maksuvälineen haltijan ja maksuvälineen myöntäjän välisen vastuunjaon kannalta pääsääntöisesti ratkaisevaa se, kuinka huolellisesti maksuvälineen haltijan voidaan katsoa menetelleen maksuvälineensä suhteen. Jotta maksuvälineen haltijan huolellisuutta voitaisiin arvioida, on saatava selvitystä siitä, missä olosuhteissa ja millä tavoin hän on maksuvälinettään säilyttänyt ja käyttänyt ja miten se on päätynyt ulkopuolisen haltuun/tietoon/käyttöön. Parhaat mahdollisuudet selvityksen antamiseen on lähtökohtaisesti maksuvälineen haltijalla ja hänen vaatiessa maksuvälineen myöntäjää ottamaan vastuun maksuvälineen oikeudettomasta käytöstä, voidaan maksuvälineen haltijan edellyttää antavan oman selvityksensä tapahtumista ja omasta menettelystään. Tietoa tapahtumienkulun yksityiskohdista ei aina ole mahdollista saada eikä myöskään maksuvälineen haltijalta voida sitä edellyttää, mutta hänen voidaan aina edellyttää antavan selvityksen tapahtumista ja omasta menettelystään.

Tässä tapauksessa pankki on esittänyt yksityiskohtaisen teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin tunnistussovelluksen, jolla riidanalainen maksutapahtuma on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.

Asiakas ei ole asiassa esittänyt näkemystään siitä, miten tekijät olisivat voineet saada tietoonsa kaikki tapahtuman edellyttämät asiakkaan pankkitunnustiedot sekä pankin asiakkaalle lähettämässä tekstiviestissä olleen pankin tunnistussovelluksen aktivointikoodin. Asiakkaan kertoman mukaan hän ei ole 10.10.2024 saanut pankilta viestejä pankin tunnistussovelluksen aktivoinnista. Hän ei myöskään ole luovuttanut aktivointikoodia kenellekään koskaan, ei missään tilanteessa. Eikä muutenkaan mitään pankkitunnuksia tai pankkitietoja eikä pankkikorttia.

Pankkilautakunta katsoo tapahtumien kulun jäävän asiassa esitetyn selvityksen perusteella olennaisilta osin epäselväksi. Pankkilautakunnan ei ole saadun selvityksen perusteella mahdollista luotettavasti arvioida, mitä tapauksessa on todennäköisimmin tapahtunut ja miten oikeudettoman maksutapahtuman toteuttamisen edellyttämät pankkitunnus- ja aktivointikooditiedot ovat voineet päätyä rikollisten tietoon, saati sitä, mikä on asiakkaan mahdollisesti huolimattoman menettelyn myötävaikutus tapahtumien kulkuun.

Lopputulos

Ohjesääntönsä mukaan Pankkilautakunta voi erityisestä syystä päättää, ettei se anna ratkaisusuositusta sen käsiteltäväksi saatetusta asiasta. Lautakunta katsoo, että tässä tapauksessa esitetyn selvityksen perusteella tapahtumien kulku jää olennaisilta osin epäselväksi eikä lautakunta näin ollen pysty käytettävissään olevin keinoin luotettavasti ratkaisemaan asiakkaan ja pankin välisen vastuunjaon kannalta ratkaisevaa kysymystä siitä, onko asiakkaan pankkitunnusten oikeudeton käyttö johtunut asiakkaan huolimattomuudesta ja onko asiakkaan mahdollinen huolimattomuus törkeää. Keskeisen tapahtumainkulun jäädessä tällä tavoin epäselväksi Pankkilautakunta päättää, ettei se anna ratkaisusuositusta tässä tapauksessa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Pöntinen

Jäsenet:
Atrila
Piilo
Punakivi
Makkonen

Haku