Tapahtumatiedot
Asiakas on saanut rikollisten pankin nimissä lähettämän tekstiviestin 19.8.2024 klo 12.09, jossa olleen linkin kautta avautuneilla sivuilla asiakas käytti pankkitunnuksiaan kirjautumistarkoituksessa.
Asiakas saanut klo 15.09 (21min) soiton henkilöltä, joka on esiintynyt pankin työntekijänä. Keskeytynyttä keskustelua on jatkettu asiakkaan saamassa toisessa puhelussa klo 16.10 (62 min). Asiakas on kesken puhelun itse kirjautunut mobiilipankkiinsa.
Asiakkaan verkkopankkiin on kirjauduttu 19.8.2024 klo 16.14 asiakkaan käyttäjätunnuksella, salasanalla ja avainlukulistalla. Pankki ei ole lähettänyt asiakkaalle kirjautumisesta erillistä vahvistustekstiviestiä eikä kirjautumisessa siten ole edellytetty vahvaa sähköistä tunnistamista. Verkkopankissa on muutettu asiakkaan tilien turvarajoja ja asiakkaan käytössä olevilta tileiltä ja korttiluotoilta on tehty yhteismäärältään 58.391,80 euron siirrot X Ry:n tilille, jonka käyttöoikeus asiakkaalla oli. X ry:n tililtä on tämän jälkeen tehty yhteensä 66.325,62 euron tilisiirrot ulkopuoliselle. Turvarajojen muutokset ja ulkopuolisille tehdyt tilisiirrot X ry:n tililtä on vahvistettu pankin asiakkaalle lähettämissä tekstiviesteissä mainittuja järjestyslukuja vastaavilla luvuilla asiakkaan avainlukulistalta. Asiakkaan käytössä olevien tilien välillä tehtyjen siirtojen yhteydessä pankki ei ole edellyttänyt vahvaa tunnistamista.
Asiakas on ollut yhteydessä pankkiin ja asiakkaan pankkitunnukset on suljettu 19.8.2024 klo 17:11:56. Asiakkaan tilille on saatu palautettua 510,85 euroa, joten asiassa aiheutunut lopullinen vahinko on 65.814,77 euroa.
Asiakkaan valitus
Asiakas joutui 19.8.2024 pankkihuijauksen kohteeksi. Asiakkaalle tuli pankin lähettämältä näyttänyt tekstiviesti, jonka linkistä aukesi normaalin näköinen pankin nettisivu, johon asiakas kirjautui. Seuraavana tuli viesti, jossa ilmoitettiin, että useita maksuyrityksiä on tehty uudelta laitteelta, jota ei ole merkitty asiakkaan tilille. Samassa ilmoitettiin, että Petos-osasto ottaa asiakkaaseen yhteyttä 20 minuutin kuluessa.
Kohta soitti Petos-osastolta nainen, joka sanoi, että pystyy estämään siirrot, jos asiakas antaa avainlukulistan numeroa vastaavan luvun. Asiakas on kyllä tietoinen, että lukuja ei saa antaa puhelimessa ja siksi ensin kieltäytyi, jolloin nainen sanoi, että pankilta tulee kohta tekstiviesti asiasta. Viesti tulikin ja siinä vaiheessa asiakkaan tarkkaavaisuus petti, koska kaikki vaikutti hyvin luotettavalta, ja tuntui turvalliselta antaa numero. Asiakkaalla oli koko ajan omat pankkisivut auki ja hän näki, ettei sieltä ollut otettu mitään.
Asiakas joutui keskeyttämään puhelun, koska odotti tärkeää lääkärin puhelua. Nainen kysyi, milloin voi soittaa uudestaan, ja soitti uudelleen klo 16.10 ja keskustelua jatkettiin. Asiakas sanoi naiselle, että hänellä on käyttörajat ja nainen sanoi pudottavansa niitä. Kohta tulikin pankin viesti ”olet muuttamassa tunnuksillasi tilin käyttörajaa. Vahvista muutos avainlukulistan numeroa xxx vastaavalla avainluvulla”.
Asiakas seurasi samalla tilitapahtumia ja siellä oli useita siirtoja, sekä panoja että ottoja. Nainen sanoi, että hän huolehtii siirtojen peruutukset. Kun asiakas kysyi kuinka kauan kestää, että näkee korjaukset tilillään, nainen kertoi että 72 tuntia.
Asiakkaalla oli omien tilien lisäksi rahastonhoitajana hallinnassa X ry:n yritystili, jossa ei ole käyttörajaa, koska tilillä ei koskaan ole isoja summia. Rikolliset siirsivät rahat asiakkaan tililtä ry:n tilille ja sieltä omiin tarkoituksiinsa. Rikollinen otti myös kahdelle asiakkaan luottokortille luottoa, joka tietenkin veloitettiin asiakkaan tililtä.
Asiakas huomasi rikoksen tapahtuneen, kun kortti ei toiminut kaupassa. Asiakas oli välittömästi yhteydessä pankkiin ja tilit suljettiin. Asiakas teki seuraavana päivänä pankissa palautuspyynnöt ja luottokorttireklamaation sekä rikosilmoituksen.
Asiakas on tietenkin ollut näistä huijauksista tietoinen, mutta ei pankin lähettämien tiedotteiden, vaan iltalehtien uutisten kautta. Asiakas ei mielestään ole toiminut törkeän huolimattomasti, koska kieltäytyi ensin antamasta lukuja. Asiakas ymmärtää törkeän huolimattomuuden esim., jos luottokorttia ja tunnuslukua säilytetään samassa lompakossa. Asiakas katsoo toimineensa ainoastaan huolimattomasti, koska huijarien ammattimaisen rikollisen toiminnan kautta normaali rehellinen ihminen voi tähän päätyä.
Asiakkaan mielestä pankki on toiminut törkeän huolimattomasti, kun rikollisille annetaan mahdollisuus helposti muuttaa käyttörajoja. Pankista tulee tekstiviesti ”olet muuttamassa”. Rikollinen sanoi laskevansa käyttörajaa, mutta todellisuudessa nosti. Viesti pitäisi tulla muodossa “olet nostamassa/laskemassa käyttörajaa xxx€:sta--→xxxx€:oon”. Luultavasti ainakin asiakas olisi huomannut, että rikollinen on tekemässä muuta kuin puhuu. Pankki ei ole muuttanut asiakkaalle tulevaa ilmoitusta päivittäisen käyttörajan nostamisesta asiakkaan useista kyselyistä huolimatta ja vaikka asiakkaan tapauksesta on jo aikaa. Tiliä avattaessa voitaisiin myös pyytää asiakasta hyväksymään esimerkiksi vuorokauden viive käyttörajan muutokselle. Tämä vaikeuttaisi huomattavasti rikollisten toimintaa eikä liene tietoteknisesti vaikea toteuttaa.
Pankin vastine
Pankki katsoo ensisijaisesti, että asiakas on antanut maksuille maksupalvelulain mukaisen suostumuksen eikä kysymys ole siten oikeudettomasta maksutapahtumasta. Toissijaisesti, tapaukseen liittyvät yksityiskohdat ja kokonaisarviointi huomioon ottaen, pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti. Pankki katsoo, ettei ole korvausvelvollinen aiheutuneesta vahingosta.
Selvitys tapahtumasta
Asiakkaalta saadun selvityksen mukaan hän on saanut lähettäjältä ”OMA [pankki]” tekstiviestin, jossa kysyttiin "oletko jo hyväksynyt ehtomme". Viesti sisälsi linkin sivulle ”[pankki]-vastaus.fi/auth/[pankki]fi”. Asiakas on mennyt linkistä sivustolle, jossa ilmoitettiin avainlukulistan olevan tilapäisesti lukittu ja väitettiin, että asiakkaan tililtä oli tehty useita maksuyrityksiä asiakkaalle rekisteröimättömättä laitteelta, jonka vuoksi avainlukulista oli lukittu. Tämän jälkeen sivulla oli ilmoitus, jossa kerrottiin pankin petosyksikön olevan yhteydessä asiakkaaseen puhelimitse noin 20 min kuluessa ja auttavan väitetyssä petosyrityksessä.
Asiakas kertoo saaneensa klo 15.09 soiton tuntemattomasta numerosta. Asiakas kertoo kieltäytyneensä pankin toimihenkilönä esiintyneen henkilön avainluvun antamista koskeneesta pyynnöstä, jolloin hän sai kertomansa mukaan aidolta ja turvalliselta vaikuttaneen tekstiviestin pankilta ja antoi pyydetyn avainlukulistan numeron. Nainen soitti asiakkaalle uudestaan klo 16.10. Tämä puhelu kesti 1 h 2 min. Puhelun aikana soittaja oli mm. pyytänyt asiakasta tarkistamaan nostorajat, jotka asiakas muutti 2000 eurosta 500 euroon. Soittaja kertoi asiakkaalle, että uusia siirtoyrityksiä oli ilmaantunut, sama olisi toistunut ainakin kolme eri kertaa. Samalla soittaja oli asiakkaan kertoman mukaan päässyt nostamaan hänen kasvutuottotilinsä nostorajan 2000 eurosta 50 000 euroon. Havaittuaan tämän asiakas palautti nostorajan takaisin. Puhelun aikana asiakas seurasi samalla itse eri tileillä tapahtuvia siirtoja, nostoja ja panoja. Soittaja oli vakuuttanut asiakkaalle, että hän huolehtii siirtojen peruutukset. Soittaja väitti asiakkaalle, että kestää 72 tuntia ennen kuin kaikki hänen tekemänsä peruutukset toteutuvat.
Pankin käsityksen mukaan asiakas on syöttänyt linkistä avaamalleen huijaussivustolle kaikki pankkitunnuksensa osat (käyttäjätunnus, salasana ja vaihtuva avainluku asiakkaalla fyysisesti hallussa olevasta avainlukulistasta). Jotta maksut on voitu tehdä, on maksun tehneellä taholla pitänyt olla hallussaan kaikki tunnuksen osat. Pankin selvityksen mukaan asiakkaan omilta tileiltä on tehty useita siirtoja (yht. 58 391,80 euroa) X Ry:n tilille, johon asiakkaalla on ollut käyttöoikeus. Ry:n tililtä on tehty 66 325,62 euron suuruiset siirrot ulkopuoliselle. Palautuksena on saatu 510,85 euroa.
Ry:n tililtä on tehty vahvasti sähköisesti tunnistautuneena ja maksuista on lähetetty asiakkaalle tekstiviestitse vahvistuspyynnöt asiakkaan tunnukseen liitettyyn lisävahvistusnumeroonsa. Maksunvahvistuspyyntöjä on ollut yhteensä neljä, jotka on vahvistettu avainlukulistan numeroilla. Tilisiirron tekijällä on siis täytynyt olla hallussaan kaikki asiakkaan pankkitunnusten osat (käyttäjätunnus, salasana, vaihtuva avainlukulistan numero sekä tekstiviesteillä pyydetyt avainlukulistan numerot maksujen vahvistamiseksi). Avainluku on mahdollista antaa vain asiakkaan hallussa olevasta paperisesta avainlukulistasta.
Nimenomaan turvallisuussyistä asiakkaan tunnuksiin liitettyyn puhelinnumeroon on lähetetty pankin toimesta 19.8.2024 seuraavat vahvistustekstiviestit:
klo 16.18.38
Olet maksamassa palvelussamme 2732,41. EUR tilille ESxx xxxxxxxxxxxxxxxx. Vahvista maksu avainlukulistan #### avainluvulla. [pankki]
klo 16.23.46
Olet muuttamassa tunnuksiltasi tilin käyttörajaa. Vahvista muutos avainlukulistan järjestysnumeroa #### vastaavalla avainluvulla. [pankki]
klo 16.27.41
Olet maksamassa palvelussamme 38 838,44 EUR tilille ESxx xxxxxxxxxxxxxxxx. Vahvista maksu avainlukulistan #### avainluvulla. [pankki]
19.8.2024 klo 16:42:00 Asiakas kirjautunut omalla tunnistussovelluksellaan mobiilipankkiin.
klo 16.51.39
Olet maksamassa palvelussamme 13 431,34 EUR tilille ESxx xxxxxxxxxxxxxxxx. Vahvista maksu avainlukulistan ####. avainluvulla. [pankki]
klo 16.58.07
Olet muuttamassa tunnuksillasi tilin käyttörajaa. Vahvista muutos avainlukulistan järjestysnumeroa #### vastaavalla avainluvulla. [pankki]
klo 17.02.08
Olet muuttamassa tunnuksillasi tilin käyttörajaa. Vahvista muutos avainlukulistan järjestysnumeroa #### vastaavalla avainluvulla. [pankki]
klo 17.03.34
Olet muuttamassa tunnuksillasi tilin käyttörajaa. Vahvista muutos avainlukulistan järjestysnumeroa #### vastaavalla avainluvulla. [pankki]
klo 17.07.35
Olet maksamassa palvelussamme 11323,43 EUR tilille ESxx xxxxxxxxxxxxxxxx. Vahvista maksu avainlukulistan ####. avainluvulla. [pankki]
Asiakas on ollut tilanteen huomattuaan yhteydessä pankkiin ja asiakkaan pankkitunnukset on suljettu 19.8.2024 klo 17:11:56.
Pankin arviointi asiassa
Sääntely ja pankin toimet asiakkaiden varoittamiseksi
Pankki viittaa maksupalvelulain 38 §:n momenttiin ja 62 §:än sekä pankin tunnus- ja digisopimuksen ehtoihin ja asiakkaalle on pankin tunnus- ja digisopimuksen tekemisen yhteydessä annettuun Tärkeää tietoa [pankin] tunnuksistasi -nimiseen asiakirjaan.
Väärinkäytösten ehkäisemiseksi pankki on aktiivisesti varoittanut asiakkaitaan verkkopalvelutunnusten kalastelukampanjoista muun muassa verkkosivujensa tiedotteilla 9.8., 4.7., 7.5. ja 26.4.2024. Pankki on ohjeistanut asiakkaitaan olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjautua sähköpostitse tulleen linkin kautta. Lisäksi pankki on ohjeistanut, että kirjauduttaessa verkkopankkiin, tulee kirjoittaa verkkopankin osoite (www.[pankki].fi) selainriville itse tai käyttää tallennettua kirjanmerkkiä. Jos mahdollista, asiointiin on suositeltu käytettävän pankin mobiilisovellusta.
Ensisijaisesti kyseessä on maksupalvelulain mukainen suostumus maksutapahtumille
Asiakas on antanut maksupalvelulain mukaisesti suostumuksensa maksuille. Pankki on asiakkaan kanssa sovitun mukaisesti toimittanut asiakkaalle maksujen vahvistuspyynnöt hänen henkilökohtaisessa käytössään olevaan ja tunnuksiin liitettyyn puhelinnumeroon tekstiviestillä. Pyynnöt ovat sisältäneet tiedot maksujen määristä ja saajien tilinumeroista. Vahvistuspyynnöissä maksut on pyydetty vahvistamaan avainlukulistalla. Viestit ovat alkaneet sanoilla "Olet maksamassa", joten viestien sisältö on ollut selkeä ja yksiselitteinen.
Hyväksymällä maksut tekstiviesteissä pyydetyillä vaihtuvilla avainluvuilla asiakas on antanut maksupalvelulain 38 §:n mukaiset suostumukset maksuille, eikä kysymys ole oikeudettomasta käytöstä.
Toissijaisesti kyseessä on tunnuksen haltijan törkeä huolimattomuus
Pankki on useaan otteeseen vuoden 2024 aikana varoittanut asiakkaitaan tietojenkalastelusta ja katsoo, yleisen tietämyksen ja pankin antamien ohjeiden ja varoitusten perusteella, että asiakkaan tulisi olla tietoinen tunnusten turvallisesta käytöstä. Pankki on kieltänyt asiakkaitaan kirjautumasta linkin kautta palveluihinsa pankin tunnus- ja digisopimuksessa, sopimuksen tekemisen sekä ehtomuutosten yhteydessä annettavana Tärkeää tietoa [pankin] tunnuksistasi -asiakirjalla sekä muutoinkin viestinnässään.
Tässä tapauksessa asiakas on saanut tekstiviestillä linkin, josta avautuneelle sivulle hän on sopimusehtojen vastaisesti kirjautunut pankkitunnuksillaan. Tämän jälkeen asiakkaalle on soitettu esiintyen pankin toimihenkilönä ja asiakas on saanut neljä vahvistusviestiä maksuille, joita hän ei ole itse käynnistänyt. Asiakas on lisäksi saanut viisi vahvistusviestiä koskien tilien käyttörajojen muutoksia. Asiakas on luovuttanut kaikkien yhdeksän vahvistuspyynnön mukaiset avainluvut maksut / käyttörajan korotukset käynnistäneelle taholle.
Kun otetaan huomioon edellä kuvatut yksityiskohdat; kirjautuminen tekstiviestillä tulleen linkin kautta ja maksujen vahvistaminen ja käyttörajojen muutokset vaihtuvilla avainluvuilla, pankki katsoo asiakkaan toimineen kokonaisuutena arvioiden törkeän huolimattomasti. Maksujen vahvistaminen osoittaa, että asiakas ei joko lukenut hänelle lähetettyjä viestejä tai on jättänyt ne kokonaan huomiotta. Maksupalvelulain mukaisesti olennaista on asiakkaan oma toiminta; suostumuksen antaminen tai törkeä huolimattomuus johtavat siihen, että vastuu oikeudettomista maksuista on asiakkaalla. Pankin viestit ovat olleet yksiselitteisiä ja informatiivisia, viestit ovat joko alkaneet sanoilla "Olet muuttamassa tunnuksillasi tilin käyttörajaa" tai "Olet maksamassa" sekä sisältäneet tiedon maksun määrästä ja saajan ulkomaisesta tilinumerosta tai kehotuksen tarkastaa maksu. Näin ollen pankki ei ole asiassa korvausvelvollinen, vaan korvaushakemuksen kohteena oleva oikeudeton käyttö jää kokonaisuudessaan asiakkaan omalle vastuulle.
Tapauksen osalta on olennaista, että asiakkaan huolimattomuutta arvioidaan maksupalvelulain perusteella. Kyse ei ole yleisestä vahingonkorvausoikeudessa käytetystä huolimattomuusarvioinnista. Maksupalvelulaki on erityislaki, joka syrjäyttää yleisen lain (vahingonkorvauslaki) siltä osin, kun erityislaissa säädetään asiasta tarkemmin. Rajanveto huolimattomuuden ja törkeän huolimattomuuden välillä on tarkentunut ratkaisukäytännön myötä.
Asiakas on pankin näkemyksen mukaan toiminut maksupalvelulain kriteereillä arvioiden törkeän huolimattomasti, mikä johtaa asiakkaan vastuuseen aiheutuneesta vahingosta. Lisäksi pankki muistuttaa, että tapauksessa asiakas on maksut hyväksymällä antanut suostumuksensa maksuihin, mikä on ensisijainen vastuuperuste.
Asiassa ei ole kyse pankin toiminnasta, joten pankin huolellisuuttakaan ei ole tarpeen arvioida. Pankki on vastaanottanut asiakkaan kehitysehdotuksen ja toteaa, että pankkiryhmän pankit tekevät jatkuvaa työtä huijausten ehkäisemiseksi.
Asiakkaan velvollisuus rajoittaa vahinkoa
Asiakas on puhelun aikana seurannut omasta mobiilipankista eri tileillään tapahtuvia siirtoja sekä havainnut ulkopuolisen muuttaneen tilin nostorajat sovitusta poikkeavasti. Asiakas on itse muuttanut nostorajan takaisin haluamalleen tasolle. On ilmeistä, että asiakkaan epäilykset ovat heränneet ja hän on kyseenalaistanut soittajan toimintaa.
Pankin lokitietojen mukaan asiakas on kirjautunut mobiiliin klo 16:42. Pankki katsoo, että asiakkaan olisi tullut viimeistään tässä vaiheessa sulkea tunnuksensa ja siten rajoittaa vahinkoa. Tämän mobiiliin kirjautumisen jälkeen tililtä on tehty vielä käyttörajojen muutoksia ja kaksi maksua ulkopuoliselle.
Mikäli pankin katsottaisiin, vastoin omaa käsitystään, korvausvelvolliseksi asiassa, tulee huomioida, että asiakas on laiminlyönyt sopimusehtojen mukaisen velvollisuutensa rajoittaa vahinkoa. Näin ollen pankki ei voi olla vastuussa ainakaan kahdesta viimeisestä maksusta ulkopuoliselle (yht. 24 751,77 euroa).
Pankkilautakunnan esittämä lisäselvityspyyntö
Pankkilautakunta on pyytänyt selvitystä seuraavista asioista:
1) mihin kellonaikaan rikolliset ovat asiakkaan verkkopankkiin kirjautuneet, mitä tietoja tämä on tarkkaan ottaen edellyttänyt ja onko kirjautumisen yhteydessä edellytetty vahvaa tunnistamista.
2) toimittamaan listaus kaikista rikollisten asiakkaan verkkopankissa asiakkaan käytettävissä olevien tilien välillä tekemistä oikeudettomista siirroista ja selvittämään, onko näiden siirtojen yhteydessä edellytetty vahvaa tunnistamista.
3) mikäli vahvaa tunnistamista ei ole em. siirtojen yhteydessä edellytetty, pankkia esittämään näkemyksensä siitä, miten ilman vahvaa tunnistamista tehdyt oikeudettomat siirrot ovat vaikuttaneet asiassa aiheutuneen vahingon määrään.
Pankin vastaus:
1) [pankki].fi palveluun on kirjauduttu 19.8.2024 klo 16.14 käyttäjätunnuksella, salasanalla ja avainlukulistalla ja tällä istunnolla on tehty kaikki reklamaation kohteena olevat maksut. Kirjautumisessa ei ole käytetty vahvaa sähköistä tunnistamista, eli asiakkaalle ei ole mennyt erillistä tekstiviestiä kirjautumisesta. Pankki viittaa maksupalvelulain 85 c §:än sekä Komission delegoidun asetuksen (EU) 2018/389 10 artiklan asiakkaan vahvaa tunnistamista koskeviin poikkeuksiin, joissa mainitun poikkeuksen nojalla pankki on voinut sallia kirjautumisen ilman vahvaa tunnistamista.
2) Alla on listaus kaikista siirroista. Pankki katsoo, että siirrot eivät ole olleet oikeudettomia, sillä asiakas on luovuttanut käyttäjätunnuksensa, salasanansa ja avainlukulistan vaihtuvan koodin ulkopuoliselle. Asiakas on lisäksi hyväksynyt avainlukulistan vaihtuvalla luvulla kaikki maksut ulkopuoliselle. Lihavoidut siirrot eivät ole edellyttäneet vahvaa sähköistä tunnistamista (SCA).
X ry. YRITYSTILI -9353:
| 16:19:51 | -2732,41 | TILISIIRTO | ES09--4536 |
| 16:25:59 | 42432,42 | PANO | Asiakas |
| 16:29:17 | -38838,44 | TILISIIRTO | ES09--4536 |
| 16:37:11 | 4122,42 | PANO | Asiakas |
| 16:38:34 | 3352,32 | PANO | Asiakas |
| 16:39:04 | 3321,42 | TILISIIRTO | Asiakkaan korttiluotto |
| 16:40:11 | 1573,53 | TILISIIRTO | Asiakkaan korttiluotto |
| 16:53:19 | -13431,34 | TILISIIRTO | ES15--4577 |
| 17:01:26 | 4742,32 | PANO | Asiakas/ VUOKRATILI |
| 17:03:08 | 3742,32 | PANO | A T. A:n puoliso |
| 17:08:24 | -11323,43 | TILISIIRTO | ES15--4577 |
Asiakas, KASVUTUOTTO - 8551:
| 16:38:34 | -3352,32 | TILISIIRTO | X R.Y. | -9353 |
| 16:37:11 | -4122,42 | TILISIIRTO | X R.Y. | -9353 |
| 16:25:59 | -42432,42 | TILISIIRTO | X R.Y. | -9353 |
Asiakas, KÄYTTOTILI - 8393:
| 17:01:26 | -4742,32 | TILISIIRTO | X R.Y. | -9353 |
Asiakas KÄYTTÖTILI -2908:
| 17:03:08 | -3742,32 | TILISIIRTO | X R.Y. | -9353 |
3) Pankki katsoo, ettei yllä mainitut siirrot ole olleet oikeudettomia. Vaikka omien käyttöoikeustilien välisissä siirroissa ei ole vaadittu vahvaa sähköistä tunnistamista, ei vahingon määrä ole niistä lisääntynyt, sillä omien tilien väliset siirrot eivät ole vähentäneet asiakkaan hallinnassa olleita varoja, koska samat siirrot olisi ollut mahdollista tehdä suoraan asiakkaan omalta tililtä ulkopuoliselle. Tapauksessa on tehty viisi omien tilien välistä siirtoa asiakkaan omilta tileiltä yhdistyksen tilille. Tämä ei kuitenkaan ole lisännyt vahingon määrää, sillä varat ovat olleet edelleen asiakkaan vallinnassa ja asiakas olisi voinut olla hyväksymättä ulkopuolisen käynnistämiä tilisiirtoja, joista hänelle on tullut vahvistusviestit. Pankin näkemyksen mukaan omien käyttöoikeustilien välisestä siirrosta lähetetty vahvistusviesti olisi tuskin rajoittanut vahingon määrää, sillä asiakas on hyväksynyt ja vahvistanut joka tapauksessa useita suuria siirtoja ulkopuoliselle.
Pankki toteaa myös, että asiakas on tapahtumien aikana kirjautunut itse pankin mobiilisovellukseen, jossa on voinut seurata tapahtumia. Ensimmäinen kirjautuminen on ollut heti klo 16:17:21. Tämän jälkeen uusi kirjautuminen on ollut klo 16:42:01, jolloin asiakkaan viimeistäänkin olisi tullut havaita siihen mennessä tapahtuneet tilisiirrot. Tämän jälkeen asiakas on vahvistanut vielä kaksi siirtoa tililtä, yhteensä 24.754,77 euroa. Pankki katsoo, ettei ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa. Ensisijaisesti pankki vetoaa maksupalvelulain mukaiseen suostumukseen, sillä asiakas on hyväksynyt maksut. Toissijaisesti pankki vetoaa törkeään huolimattomuuteen asiakkaan toiminnassa.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin tunnus- ja digisopimuksen ehdot
- Tutkintailmoitus (Ilmoitusaika 20.8.2024 klo 13.44)
- Kuvakaappaus rikollisten pankin nimissä lähettämästä tekstiviestistä 19.8.2024 kl 12.09
- Kuvakaappaus valesivuilta, joilla ilmoitetaan asiakkaan avainlukulistan väliaikaisesti lukitun ja pankin Petos-osaston ottavan asiakkaan yhtyettä puhelimitse
- Kuvakaappaukset asiakkaan puhelimen puhelutiedoista koskien asiakkaan saamia puheluja 19.8.2024 klo 15.09 ja 16.10
- Kuvakaappaus pankin asiakkaalle lähettämistä tekstiviesteistä
- Tutkintailmoitus (Ilmoitusaika 20.8.2024 klo 13.44)
- Kuvakaappaus asiakkaan pankilta saamasta yhteyshenkilön vaihtumista koskeva tekstivisti
- Kuvakaappaus pankin asiakkaalle 9.4.2025 lähettämästä verkkoviestistä, jossa kiitetään asiakkaan antamasta kehitysehdotuksesta
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. tilisiirroille vai onko tilisiirtoja pidettävä oikeudettomina. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko asiakkaan katsoa luovuttaneen maksuvälineensä sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla tai voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on. Edelleen lautakunnan on arvioitava, vaikuttaa asiakkaan ja pankin välisen vastuunjakoon se, että pankki ei ole edellyttänyt vahvaa tunnistamista verkkopankin sisäisten tilisiirtojen yhteydessä.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 8 §:n (Määritelmät.) mukaan
Tässä laissa tarkoitetaan:
[…]
24) vahvalla tunnistamisella maksupalvelun käyttäjän sähköistä tunnistamista, jossa suojataan tunnistamistiedon luottamuksellisuutta ja käytetään menettelyä, joka perustuu vähintään kahteen seuraavista kolmesta toisistaan riippumattomasta vaihtoehdosta:
a) johonkin, mitä vain maksupalvelun käyttäjä tietää;
b) johonkin, mitä vain maksupalvelun käyttäjällä on hallussaan;
c) maksupalvelun käyttäjän yksilöivään ominaisuuteen;
[…]
Maksupalvelulain 38 §:n 1 momentin mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.
Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Lain 54 §:n 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Lain 72 §:n 1 ja 3 momentin mukaan
Jos maksupalvelun käyttäjä kiistää antaneensa suostumuksensa maksutapahtuman toteuttamiseen, hänen palveluntarjoajansa on osoitettava, että suostumus on annettu sovitulla tavalla. Jos maksupalvelun käyttäjä väittää, että maksutapahtumaa ei ole toteutettu asianmukaisesti, palveluntarjoajan on osoitettava, että maksutapahtuma on kirjattu ja merkitty tileille oikein ja ettei maksutapahtuman käsittelyyn ole vaikuttanut tekninen vika tai muu häiriö.
[…]
Se seikka, että palveluntarjoaja voi näyttää, että suostumus maksutapahtuman toteuttamiseen on annettu maksuvälineellä, ei välttämättä yksin riitä osoittamaan, että maksuvälineen haltija on antanut suostumuksensa maksutapahtuman toteuttamiseen, toiminut petollisesti taikka laiminlyönyt tahallisesti tai törkeän huolimattomasti 53 ja 54 §:ssä säädettyjä velvollisuuksiaan.
Maksupalvelulain 85 c §:n (Tunnistaminen) 1 momentin mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1)käyttää maksutiliään tietoverkon välityksellä;
2)käynnistää sähköisen maksutapahtuman;
3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
Jos maksaja käynnistää sähköisen maksutapahtuman etäviestimellä, palveluntarjoajan on käytettävä vahvaa tunnistamista, johon yhdistetään maksutapahtuman määrä ja maksunsaaja maksupalveluista sisämarkkinoilla, direktiivien 2002/65, EY, 2009/110/EY ja 2013/36/EU ja asetuksen (EU) N:o 1093/2010 muuttamisesta sekä direktiivin 2007/64/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366, jäljempänä maksupalveludirektiivi, 97 artiklan 2 kohdassa tarkoitetulla tavalla.
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
Edellä 1 ja 2 momentissa tarkoitetun vahvan tunnistamisen sekä 3 momentissa tarkoitettujen turvatoimenpiteiden on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa.
Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.
Komission delegoidun asetuksen (EU) 2018/389 III luvussa (Asiakkaan vahvaa tunnistamista koskevat poikkeukset) olevan 10 artiklan (Maksutilitiedot) mukaan
1. Edellä 2 artiklassa ja tämän artiklan 2 kohdassa säädettyjen vaatimusten täyttyessä on sallittava, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksupalvelunkäyttäjän pääsyä jompaankumpaan tai kumpaankin seuraavista tiedoista rajoitetaan siten, ettei arkaluonteisia maksutietoja ilmoiteta:
a) yhden tai useamman nimetyn maksutilin saldo;
b) maksutapahtumat, jotka on toteutettu edeltävien 90 päivän aikana yhden tai useamman nimetyn maksutilin välityksellä.
2. Sovellettaessa 1 kohtaa maksupalveluntarjoajia ei saa vapauttaa asiakaan vahvan tunnistamisen soveltamisesta, jos jompikumpi seuraavista perusteista täyttyy:
a) maksupalvelunkäyttäjä käyttää 1 kohdassa tarkoitettuja tietoja ensimmäisen kerran verkossa;
b) on kulunut yli 90 päivää siitä, kun maksupalvelunkäyttäjä edellisen kerran käytti 1 kohdan b alakohdassa tarkoitettuja tietoja verkossa ja asiakkaan vahvaa tunnistamista sovellettiin.
Em. asetuksen 15 artikla (Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot) mukaan
Edellä 2 artiklassa säädettyjen vaatimusten täyttyessä on sallittava, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.
Pankin tunnus- ja digisopimuksen ehtojen (Pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Tunnusten säilyttämistä ja sallitun käytön rajoitukset -kohdan mukaan
Sinulle luovutettu tunnus on henkilökohtainen. Tunnusta tai osaakaan siitä ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos annat tunnuksen kolmannelle, vastaat kolmannen nimissäsi tekemistä toimista.
Tunnuksilla ei saa tunnistautua palveluihin, joita tarjoaa tai jossa määräysvaltaa käyttää kansainvälisten pakotteiden kohteena oleva taho. Tunnuksia ei saa myöskään käyttää lain tai hyvän tavan vastaisiin tarkoituksiin taikka muuten [pankin] julkaisemien yhteiskuntavastuuvaatimusten vastaisella tavalla.
Tunnusta tai osaa niistä et koskaan saa:
- kertoa suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessasi [pankin] puhelinpalveluun näppäilet tunnuksen omaan puhelimeesi, samoin näppäilet tunnuksen puhelimeesi, jos haluat varmentaa sinulle tulevan puhelun olevan [pankin] soittama;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluilla ja sovelluksille.;
- antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella etkä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.
- Käyttäjätunnuksen ja salasanan sisältävä kalvo tai muu, jolla tunnuksen osat on luovutettu, on hävitettävä eikä käyttäjätunnusta tai salasanaa saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon. Jos Tunnukset on luovutettu sähköisesti, sinun tulee itse suojata tunnukset ja varmistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisille ja, että tiedot eivät jää ulkopuolisten saatavilla.
Sinun tulee säilyttää tunnustasi ja sen osia huolellisesti ja erillään toisistaan siten, ettei kenelläkään ulkopuolella, ei edes samaan perheeseen kuuluvalla tai niiden käyttöön oikeudettomalla yrityksen työntekijällä ole mahdollisuutta saada niitä tietoonsa. Tunnuksen osia ei saa säilyttää samassa säilytyspaikassa kotona, eikä esimerkiksi lompakossa tai käsilaukussa.
Sinun on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että Tunnus ja sen osat ovat tallessa.
Sinun tulee kirjautuessasi [pankin] digitaalisiin palveluihin suojata laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla tunnusta käytetään siten, ettei kenelläkään ole mahdollisuutta saada tunnusta tai sen osia tietoonsa.
[pankin] digitaalisia palveluita ei saa käyttää tietokoneella tai muulla laitteella, jossa on havaittu tai epäillään olevan haittaohjelma. Et saa myöskään luovuttaa tietokoneesi tai muun laitteesi etäkäyttöä ulkopuolisille, kun käytät laitteella tunnustasi tai sen osia.
Pankkitunnusehtojen Sinun tulee ilmoittaa tunnuksen katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan
Sinun on välittömästi ilmoitettava [pankille] tunnuksen tai sen osan katoamisesta tai joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka, jos epäilet niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun.
Voit tehdä ilmoituksen puhelimitse [pankin] osoitteessa [pankki].fi ilmoitettuun sulkupalvelun puhelinnumeroon (24h/7vrk). [Pankin] asiakaspalvelun aukioloaikana ilmoituksen voi tehdä myös puhelimitse [pankin] ilmoittamaan puhelinnumeroon tai asioimalla henkilökohtaisesti [pankin] toimipaikoissa.
Pankin hyväksymien muiden tunnistusvälineiden ja varmanteiden osalta ilmoitus katoamisesta tehdään tunnistusvälineen tai varmenteen käyttöehtojen mukaisesti.
Pankkitunnusehtojen Tunnusten käyttäminen -kohdan [pankin] digitaalisten palveluiden käyttö -alakohdan mukaan
Tunnistaudut esimerkiksi [pankin] digitaaliseen palveluun näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta eli eri kanavissa sinulta vaadittavat tiedot voivat vaihdella.
[…]
Kirjaudut [pankki].fi-palveluun kirjoittamalla osoitteen [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun olet velvollinen tarkistamaan, että [pankki].fi-verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [pankki] Ryhmään kuuluvalle yhtiölle (esim. […]. SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Sinä et saa antaa [pankin] digitaalisten palveluiden käyttöä Kolmannelle osapuolelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [pankin] digitaalisissa palveluissa. Edellä sanottu ei rajoita oikeuttasi käyttää maksupalvelulain mukaisia toimiluvan saaneita maksutoimeksiantopalveluja tai rekisteröityjä tilitietopalveluja.
Pankkitunnusehtojen Maksutoimeksiannot -kohdan mukaan
Voit antaa pankille maksutoimeksiantoja [pankin] digitaalisissa palveluissa. […]
Maksut välitetään Euromaksualueella välitettävien euromaksujen tai Lähtevien ja saapuvien valuuttamaksujen yleisten ehtojen (Maksujen välityksen yleiset ehdot) mukaisesti. [Pankki] voi määritellä palvelun kautta välitettäville maksuille ylä- tai alarajan.
[Pankin] digitaalisiin palveluihin kirjautumisen jälkeen annat suostumuksesi maksutoimeksiannon toteuttamiseen hyväksymällä toimeksiannon. Tämä koskee myös Verkkomaksu-painiketta.
[…]
Pankkitunnusehtojen Sinun velvollisuutesi rajoittaa vahinkoa -kohdan mukaan
Sinun on ryhdyttävä kohtuullisiin toimenpiteisiin vahingon rajoittamiseksi. Jos laiminlyöt tämän, vastaat itse vahingoista tältä osin. Maksupalvelulain tai sopimuksen vastaisen menettelyn perusteella [pankin] suoritettavaksi tulevaa vahingonkorvausta voidaan sovitella, jos se on kohtuuton ottaen huomioon rikkomuksen syy, oma mahdollinen myötävaikutuksesi vahinkoon, suorittamasi vastike, [pankin] mahdollisuudet ennakoida ja estää vahingon syntyminen sekä muut olosuhteet.
Asian arviointi
Tapahtumienkulku
Pankki on esittänyt asiassa teknisen selvityksen tapahtumista ja siitä, miten asiakkaan verkkopankkiin on kirjauduttu ja ko. maksut on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin lokitietoihin perustuvan selvityksen paikkansa pitävyyttä.
Pankkilautakunta katsoo tapauksessa riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankin kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla päässeet kirjautumaan asiakkaan verkkopankkiin. Riidatonta asiassa on, että tapa jolla asiakkaan verkkopankkiin on kirjauduttu, ei ole täyttänyt vahvan sähköisen tunnistamisen vaatimuksia.
Asiakkaan verkkopankkiin päästyään rikolliset ovat luoneet asiakkaan verkkopankissa X Ry:n tililtä, jonka käyttöoikeus asiakkaalla on, Espanjaan tehtävästä 2.732,41 euron tilisiirrosta maksutoimeksiannon, minkä seurauksena pankki on lähettänyt 19.8.2024 klo 16.18.38 asiakkaalle tekstiviestin:
”Olet maksamassa palvelussamme 2732,41. EUR tilille ESxx xxxxxxxxxxxxxxxx. Vahvista maksu avainlukulistan #### avainluvulla. [pankki]”
Pankkilautakunta katsoo asiassa saadun selvityksen perusteella riidattomaksi, että em. viestissä mainittu ja ko. tilisiirron toteuttamisen edellyttämä avainluku on päätynyt rikollisille siten, että asiakas kertonut sen suullisesti puhelimessa pankin nimissä esiintyneelle rikolliselle, minkä jälkeen rikolliset ovat voineet klo 16:19 vahvistaa ko. maksutoimeksiannon asiakkaan verkkopankissa.
Edellä mainittu on toistunut kolmen muun Espanjaan X ry:n tililtä lähteneen tilisiirron ja asiakkaan tilien käyttörajojen muutosten yhteydessä. Ulos lähteneiden tilisiirtojen välissä rikollisten asiakkaan verkkopankissa asiakkaan käytössä olevilta tileiltä ja kahdelta asiakkaan korttiluottotililtä X ry:n tilille tekemien siirtojen yhteydessä pankki ei ole edellyttänyt maksajan vahvaa tunnistamista eikä lähettänyt asiakkaalle maksunvahvistamista koskevaa tekstiviestiä.
Asiakkaan suostumus maksutapahtuman toteuttamiselle
Vaikka asiakkaan vastaanottamissa pankin lähettämissä tekstiviesteissä on näkynyt ko. ulkopuolisille lähteneiden maksujen tiedot, ei asiakas kuitenkaan itse ole syöttänyt viesteissä mainittuja avainlukuja verkkopankissaan vaan on kertonut mainitut avainluvut puhelimessa suullisesti pankin toimihenkilönä esiintyneelle rikolliselle. Ko. maksuja koskevat toimeksiannot ovat luoneet ja vahvistuksen niille antaneet edellä katsotuin tavoin asiakkaan verkkopankkiin omalla laitteellaan päässeet rikolliset, ja näin ollen Pankkilautakunta katsoo, ettei asiakas ole itse vahvistanut ko. tilisiirtoja eikä siten ole myöskään antanut maksupalvelulain 38 §:ssä tai pankkitunnusehdoissa tarkoitettua suostumustaan maksutoimeksiantojen toteuttamiselle. Näin ollen tilisiirtoja on pidettävä maksupalvelulaissa tarkoitetulla tavalla oikeudettomana.
Pankkitunnusten ja maksuvälineen luovuttaminen
Pankkilautakunta toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.
Tässä tapauksessa asiakas on asiointinsa ajan ja pankkitunnuksiaan verkkopankin verkkosivuilta näyttäneillä valesivuilla käyttäessään ja puhelimitse suullisesti niitä antaessaan luullut asioivansa pankkinsa kanssa ja näin ollen Pankkilautakunta katsoo, että asiakas ei ole tietoisesti luovuttanut pankkitunnustietojaan niitä koskevan sopimuksen suhteen ulkopuoliselle ja niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai pankkitunnusehdoissa tarkoitetusta tunnusten luovuttamisesta.
Näin ollen Pankkilautakunnan arvioitavaksi jää, vastaako asiakas pankkitunnustensa oikeudettomasta käytöstä maksupalvelulain 62 §:n 1 momentin 2) kohdan perusteella, ts. lautakunnan on arvioitava, johtuuko pankkitunnusten oikeudeton käyttö siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.
Asiakkaan menettelyn arviointi
Pankkitunnusehtojen mukaan tunnuksia ei saa koskaan luovuttaa tekstiviestillä tulleen pyynnön perusteella muille kuin pankin hyväksymille palveluilla ja sovelluksille. Tunnuksia ei saa koskaan antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella eikä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta. Edelleen ehtojen mukaan [pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville ja ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi-verkkosivusto on suojattu SSL-suojauksella.
Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla ja jätettyään tarkastamatta kyseisen verkkosivuston suojauksen.
Pankkilautakunta kiinnittää kuitenkin huomiota siihen, että vaikka pankin pankkitunnusehtojen mukaan tunnuksia ei saa koskaan käyttää kirjautumiseen pankin verkkopalveluihin asiakkaalle digitaalisesti lähetetyn linkin kautta, lautakunnan tietojen mukaan pankki itse tai samaan yhtiöryhmään pankin kanssa kuuluvat toimijat ovat kuitenkin joissain tilanteissa voineet lähettää asiakkailleen tekstiviestejä, jotka ovat sisältäneet linkkejä pankin omille verkkosivuille. Vaikka tällaisissa tilanteissa linkin kautta avautuneilla sivuilla ei edellytettäisi pankkitunnuksien käyttämistä, voi tämä toimintatapa osaltaan vaikuttaa siihen, että pankin asiakkaat eivät ymmärrä kyseenalaistaa tämänkaltaisia pankin nimissä tulleita yhteydenottoja ja joutuvat alttiiksi tämäntyyppiselle rikollisuudelle. Edelleen lautakunta kiinnittää huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin lähettävät asiakkailleen asiointia koskevia ja linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin asianmukaisuutta.
Pankkilautakunta katsoo, ettei asiakkaan voida edellyttää ymmärtäneen hänelle lähetetyn tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. Ottaen edellä todetun lisäksi huomioon, että tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.
Pankkilautakunta katsoo edelleen, että näkymä, jonka asiakas on tämän jälkeen rikollisten luomilla pankin verkkosivuilta näyttäneillä valesivuilla nähnyt, on taidokkaasti tehty ja aidolta vaikuttava, ja että asiakas on tämän johdosta voinut perustellusti uskoa pankin lukinneen hänen tunnuksensa petollisten maksuyritysten johdosta ja jäädä odottamaan sivuilla ilmoitettua puhelinyhteydenottoa pankista.
Pankkilautakunta kuitenkin katsoo, että saatuaan pian tämän jälkeen tuntemattomasta numerosta tulleen pankin nimissä soitetun puhelun, asiakkaan olisi huolellisesti toimiessaan tullut noudattaa erityistä varovaisuutta. Erityisesti lautakunta katsoo, että asiakkaan olisi tullut ymmärtää kyseenalaistaa se, että pankki tarvitsisi soittajan kertomalla tavalla asiakkaan apua pankin havaitsemien petollisten siirtojen estämiseksi tai peruuttamiseksi.
Pankkitunnusehtojen mukaan tunnuksia ei saa koskaan kertoa suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Asiakas on kertomansa mukaan myös ollut tietoinen siitä, ettei pankkitunnuksia saa antaa puhelimitse.
Pankkilautakunta katsookin, että viimeistään soittajan pyydettyä asiakasta kertomaan pankkitunnustietojaan ja asiakkaan saatua tavanomaisen maksunvahvistamista koskevan ja sanoin ”Olet maksamassa..” alkavan tekstiviestin hänelle entuudestaan tuntemattomalle ES-alkuiselle tilille tehtävästä siirrosta asiakkaan olisi tullut jättää pyydetty avainluku antamatta puhelimessa, keskeyttää asiointinsa ja päättää puhelu. Mikäli asiakas olisi näin toiminut ja tämän jälkeen esimerkiksi soittanut pankin asiakaspalveluun tiedustellakseen menettelyn asianmukaisuutta, olisi asiassa aiheutuneelta vahingolta voitu välttyä. Lautakunta katsoo asiakkaan varomattoman menettelyn vakavuutta korostavan se, että asiakas on kertomansa mukaan ollut tietoinen siitä, ettei pankkitunnuksia saa antaa puhelimitse ja hän on saadun selvityksen mukaan puhelun aikana myöhemmässä vaiheessa ja ennen viimeisiä oikeudettomia ulkomaille lähteneitä maksuja ollut itse kirjautuneena mobiilipankissaan ja on voinut siten tarkastella siellä tilitapahtumiaan. Kokonaisuutena arvioiden Pankkilautakunta katsoo asiakkaan menettelyn poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnusten haltijan huolelliselta menettelyltä vaaditaan ja osoittavan siten maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Näin ollen asiakas lähtökohtaisesti vastaa tilisiirroista aiheutuneesta vahingosta pankin ja asiakkaan välisessä suhteessa.
Verkkopankin sisällä tehtyjen oikeudettomien tilisiirtojen tekeminen ilman vahvaa tunnistamista
Maksupalvelulain 8 §:ssä määritetään, mitä laissa tarkoitetaan vahvalla tunnistamisella, jota lain 85 b § edellyttää palveluntarjoajan käyttävän, jos maksaja käyttää maksutiliään tietoverkon välityksellä tai toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski. Edelleen lain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Vahvan tunnistamisen on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin (EU) 2015/2366 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa (RTS). Komission delegoidun asetuksen (EU) 2018/389 III luvussa luetellaan asiakkaan vahvaa tunnistamista koskevan periaatteen poikkeuksista.
Em. asetuksen III luvun 15 artiklan, joka koskee saman luonnollisen henkilön hallussa olevien tilien välisiä tilisiirtoja, mukaan on sallittavaa, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.
Asiassa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista siinä yhteydessä, kun rikolliset ovat tehneet tilisiirtoja asiakkaan käytettävissä olevien tilien välillä asiakkaan verkkopankissa.
Vaikka sääntely tietyissä poikkeustilanteissa sallii sen, ettei maksupalvelujentarjoajan ole edellytettävä maksujen yhteydessä maksajan vahvaa tunnistamista, ei maksupalvelun käyttäjä maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan kuitenkaan vastaa maksuvälineensä oikeudettomasta käytöstä, jos maksupalveluntarjoaja ei ole maksuvälineen oikeudettoman käytön yhteydessä edellyttänyt maksajan vahvaa tunnistamista. Näin ollen salliessaan maksutapahtumia tehtävän ilman maksajan vahvaa tunnistamista ottaa pankki vastuulleen riskin maksuvälineen oikeudettomasta käytöstä.
Tässä tapauksessa verkkopankin sisällä tehdyt tilisiirrot ovat rikollisten oikeudettomasti tekemiä ja koska pankki on sallinut tilisiirtojen tekemisen X ry:n tilille ilman maksajan vahvaa tunnistamista, vastaa pankki näistä tilisiirroista. Pankki on tältä osin vedonnut siihen, että nämä siirrot eivät ole lisänneet vahingon määrää, sillä varat ovat olleet edelleen asiakkaan vallinnassa ja asiakas olisi voinut olla hyväksymättä ulkopuolisen käynnistämiä tilisiirtoja. Pankin näkemyksen mukaan myöskään omien tilien välisistä siirroista lähetetyt vahvistusviestit tuskin olisivat rajoittaneet vahingon määrää, sillä asiakas on hyväksynyt ja vahvistanut joka tapauksessa useita suuria siirtoja ulkopuoliselle.
Pankkilautakunta toteaa, että asiassa aiheutunut ja takaisin saadun palautuksen jälkeen 65.814,77 euroon pienentynyt vahinko on tässä tapauksessa realisoitunut, kun rikolliset ovat vahvistaneet yhteensä 66.325,62 euron tilisiirrot asiakkaan käytössä olevalta X ry:n tililtä edellä tapahtumienkulkua koskevassa kappaleessa esitetyin tavoin. Näiden oikeudettomien maksujen osalta lautakunta on edellä asiakkaan menettelyä arvioidessaan katsonut asiakkaan menetelleen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti, minkä johdosta asiakas lähtökohtaisesti vastaa maksuista aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.
Tapauksessa saadun kokonaisselvityksen perusteella Pankkilautakunta kuitenkin katsoo, että asiassa aiheutuneen vahingon määrään on vaikuttanut em. maksujen väleissä tehdyt verkkopankin sisäiset siirrot ja se, että pankki on sallinut näiden oikeudettomien siirtojen tekemisen ilman vahvaa tunnistamista. Pankkilautakunta katsoo, että tässä tapauksessa ei asian arvioinnin kannalta ole merkitystä sillä hypoteettisella tapahtumankululla, jossa pankki olisi edellyttänyt vahvaa tunnistamista myös omien tilien välisessä tilisiirrossa.
Tapauksessa ainoastaan ensimmäinen ulkopuoliselle saajalle tehty 2.732,41 euron siirto on tehty ennen verkkopankin sisäisiä siirtoja, eikä pankki ole vedonnut siihen, että X ry:n tilillä olisi ollut tämän jälkeen ja ennen em. sisäisiä siirtoja muita varoja, taikka antanut tilin saldosta minkäänlaista selvitystä. Näin ollen Pankkilautakunta katsoo - verkkopankin sisäisten siirtojen yhteismäärän ollessa pienempi kuin lopullisen kokonaisvahingon määrä vähennettynä ensimmäisen ulkopuoliselle lähteneen maksun määrällä - vahvan tunnistamisen puutteen vuoksi asiakkaan ja pankin välisessä suhteessa pankin vastuulle kuuluvien 58.391,80 euron sisäisten siirtojen vaikuttaneen asiassa aiheutuneeseen vahingon määrään kokonaismäärältään ja asiassa aiheutuneen vahingon kuuluvan näiden tilisiirtojen määrän osalta kokonaisuudessaan pankin vastuulle.
Lopputulos
Pankkilautakunta katsoo, ettei asiakas ole antanut ko. tilisiirroille maksupalvelulaissa tarkoitettua suostumustaan ja että kyse on siten pankkitunnusten oikeudettomasta käytöstä maksuvälineenä. Lautakunta katsoo oikeudettoman käytön johtuneen siitä, että asiakas on törkeästä huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan ja asiakkaan siten vastaavan oikeudettomasta käytöstä aiheutuneesta vahingosta lähtökohtaisesti täysimääräisesti.
Edelleen lautakunta kuitenkin katsoo, että vahingon kokonaismäärään on vaikuttanut verkkopankin sisällä tehdyt siirrot, jotka ovat olleet ulkopuolisille tehtyjen tilisiirtojen edellytyksenä ensimmäistä ulkopuoliselle tehtyä siirtoa lukuun ottamatta. Koska pankki on sallinut kyseisten tilisiirtojen tekemisen ilman vahvaa tunnistamista ja siirrot ovat oikeudettomia, vastaa pankki kyseisistä tilisiirroista ja asiassa aiheutuneesta vahingosta siltä osin kuin kyseiset siirrot ovat vahingon kokonaismäärää lisänneet.
Edellä esitettyyn viitaten Pankkilautakunta suosittaa pankkia hyvittämään yhteensä 58.391,80 euroa niille tileille, joilta em. oikeudettomat siirrot ilman vahvaa tunnistamista tehtiin.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Atrila
Ketola
Makkonen
Punakivi