Haku

FINE-72045-D0M3Q4

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-72045-D0M3Q4 (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 06.10.2025

Onko pankki korvausvastuussa asiakkaalle huijauksesta aiheutuneesta vahingosta? Suostumus. Kieliseikat. Maksunpalautuspyyntö. Käyttötilien välinen siirto.

Tapahtumatiedot

Asiakas on joutunut 27.9.2024 puhelimitse tehdyn huijauksen uhriksi. Pankin nimissä esiintynyt henkilö on kertonut asiakkaan henkilötiedoilla tehdyn lainahakemuksia, jotka tulisi mitätöidä. Asiakas on toiminut soittajan ohjeiden mukaisesti syöttäessään saamiaan koodeja tunnistussovellukseensa tunnisteeksi.

Rikoksentekijä on puhelussa saamallaan asiakkaan käyttäjätunnuksella aloittanut asiakkaan verkkopankkiin kirjautumisen, jonka asiakas on hyväksynyt tunnistussovelluksellaan. Tämän jälkeen rikollinen on aloittanut maksutoimeksiantojen teon. Rikoksentekijän käynnistämistä maksutapahtumista ulkopuoliselle on tullut asiakkaalle vahvistus- ja lisävahvistuspyyntöjä, jotka ovat olleet olennaisilta osiltaan ruotsiksi. Tunnistussovellukseen tulleissa vahvistuspyynnöissä on ollut mainittuna muun muassa tilinumero, summa sekä vahvistuspyyntö ”Godkänn betalning”. Tekstiviestitse tulleet lisävahvistuspyynnöt ovat alkaneet sanoin ”Du vill i vår tjänst betala 123 EUR på kontot FIXX XXXX XXXX XXXX”. Asiakas on hyväksynyt jokaisen saamansa vahvistus- ja lisävahvistuspyynnön. Vahvistuspyyntöjä on tullut kymmenittäin. Verkkopankkiin päästyään rikoksentekijä on myös tehnyt tilisiirtoja asiakkaan käytössä olevien tilien välillä, mutta nämä eivät ole edellyttäneet erillistä vahvistamista.  

Tileiltä, joihin asiakkaalla on ollut käyttöoikeus, on siirretty ulkopuoliselle yhteensä 80 500 euroa. Asiakas on pyytänyt pankkia tekemään maksunpalautupyynnöt saajan pankille 30.9., pankki on tehnyt ne 1.10., mutta suostumusta maksun palautukseen ei ole saatu yhdenkään maksun osalta.

Pankki on korvannut asiakkaan käytössä olleiden tilien välisiä sisäisiä siirtoja asiakkaalle ensin 3 859 euron ja myöhemmin vielä 1 110 euroa. Poliisi on saanut palautettua asiakkaalle 37 140,17 euroa. Asiakkaan pankkitunnukset on suljettu 27.09.2024 klo 17.15 pankin toimesta turvallisuussyistä.

Asiakkaan valitus

Asiakas vaatii ensisijaisesti pankkia korvaamaan kaikki menettämänsä varat. Toissijaisesti asiakas vaatii pankkia korvaamaan 1 110 euron ja 878 euron suuruiset tilisiirrot, joiden teossa ei edellytetty vahvaa tunnistamista.

Asiakas joutui 27.9.2024 huijarin uhriksi. Tileiltä vietiin yli 80 000 euroa. Asiakas meni maanantaina 30.9. pankin konttoriin selvittämään asiaa. Asiakaspalvelija alkoi selvittämään, mihin rahat oli siirretty ja sen jälkeen otti yhteyttä kyseiseen pankkiin rahojen takaisin perimiseksi. Jonkun ajan kuluttua hänelle tuli asiakas ja hän lopetti takaisinvetopyynnöt sanoen jatkavansa myöhemmin tänään. Näin ei kuitenkaan tapahtunut, vaan pyyntöjä oli jatkettu pankin mukaan 1.10. Maksunpalautuspyyntöjä tehtiin 60, joista kustakin veloitettiin 15 euroa. Asiakas on pyytänyt pankilta useaan otteeseen ajankohtia, jolloin maksunpalautuspyyntöjä tehtiin. Asiakas sai päivämäärän 1.10., jota pitää tekaistuna. Asiakas olettaa, että pankki on viivytellyt maksunpalautuspyyntöjen kanssa siinä uskossa, ettei mitään pystytä palauttamaan. Asiakas sai kuitenkin takaisin 37 000 euroa 16.10. Tästä syystä asiakas epäilee, että olisi saanut takaisin enemmän, jos pankki olisi toiminut pyyntöjen suhteen nopeammin. Pankilla ei ollut mitään käsitystä palautetuista rahoista ja myös kaikista palautuspyynnöistä tuli ilmoitus, ettei valitettavasti rahoja pystytty palauttamaan.

Poliisi on takavarikoinut 16.10.2024 vastaanottajan tililtä 37 140,17 euroa, joten vastaanottajan tilillä on ollut varoja 1.10., jolloin pankki on tehnyt maksunpalautuspyynnöt.

Asiakas epäilee pankin toimittaman maksunpalautuspyyntölistan aitoutta.

Asiakas katsoo, ettei kyse ole hänen törkeästä huolimattomuudestaan vaan pankin puutteellisesta informaatiosta asiakkaalle. Asiakas on antanut pankkitietonsa väärälle taholle, mutta vain suojellakseen omaisuuttaan, jota uhattiin lainanoton muodossa. Asiakas ei ole nähnyt pankin ilmoittamaa varoitusta, että tällaisia huijauksia tehdään, joten hän uskoi rikollista soittajaa. Jos pankki olisi informoinut tällaisesta huijausmuodosta pankin ja asiakkaan välisessä sähköpostissa, olisi tieto tavoittanut asiakkaan. Pankin pitäisi varmistaa, että asiakas saa tiedon tällaisista huijauksista.

Pankin turvallisuusosasto ei ole toiminut asian vaatimalla tavalla, koska asiakkaan soitettua sulkupalveluun ja kerrottuaan tapahtuneesta, ei virkailija tehnyt mitään rahasiirtojen pysäyttämiseksi. Lisäksi asiakas ihmettelee, miksi ei mitenkään reagoitu, vaikka 80 000 euroa siirtyi vieraille tileille reilussa tunnissa.

Pankki palautti 3 893 euroa, koska siirtoon ei tarvittu vahvaa tunnistautumista. On myös kaksi muuta siirtoa, joihin ei tarvittu vahvaa tunnistautumista. Asiakas vaatii myös näiden palauttamista, jollei FINE totea, että pankki on velvollinen korvaamaan kaikki menetetyt varat.

Pankin vastine

Pankki kiistää asiakkaan vaatimukset.

Pankki katsoo ensisijaisesti, että asiakas on antanut maksuille maksupalvelulain mukaisen suostumuksen eikä kysymys ole siten oikeudettomasta maksutapahtumasta. Toissijaisesti, tapaukseen liittyvät yksityiskohdat ja kokonaisarviointi huomioon ottaen, pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti. Omien tilien välisiä siirtoja ilman vahvaa sähköistä tunnistamista on tässä tapauksessa tehty yhteensä 3 859 euron edestä; jotka pankki on korvannut. Pankki katsoo, ettei ole muilta osin korvausvelvollinen asiassa.

Asiakkaalta saadun selvityksen mukaan hän on saanut puhelun pankki B:stä, missä kerrottiin, että asiakkaan henkilötiedoilla oli tehty huomattavia lainahakemuksia. Puhelu siirrettiin soittajan mukaan asiakkaan omaan pankkiin, jossa soittaja totesi asiakkaalle saman asian. Asiakkaalle kerrottiin, että hakemukset pitää mitätöidä soittajan antamillaan summilla ja henkilötiedoilla. Tähän piti käyttää mobiilivarmennetta. Sitten puhelussa käytiin läpi suuri määrä soittajan mukaan 1 500 euron "lainahakemuksia", jotka asiakkaan kertoman mukaan hävisi hänen tililtään, mutta soittaja vakuutti normaalin tilinäkymän tulevan näkyviin, kunhan hän saa kirjattua lukemat. Soittaja kertoi asiakkaalle tekevänsä rikosilmoituksen. Soittaja esittäytyi "Antero Saloksi" ja antoi puhelinnumeron, mihin voi soittaa "XXXXXXXXX", mutta kyseessä ei ollut hänen numeronsa. Asiakas sai koodeja, jotka piti laittaa tunnisteeksi. Teksti oli ruotsiksi ja oli tilinumero "Fl183XXXXXXXXXXX". Asiakas on kertonut soittajan olleen hyvin asiantunteva ja vakuuttava, sillä hän tiesi kaikki asiakkaan henkilötiedot ja kertoi vastaavanlaisten tapauksien olevan hyvin yleisiä. Asiakas on kertonut saaneensa vaikutelman, että tulee toimia heti, jotta ehditään sulkea lainojen nostomahdollisuudet. Asiakkaan mukaan hänen tileillään oli yli 70 000 euroa, johon sisältyi hänen vaimonsa ja maatalousyhtymän tilejä. Asiakkaan mukaan kaikki varat on siirretty tileiltä ulkopuoliselle.

Pankin käsityksen mukaan asiakas on luovuttanut ulkopuoliselle digipalvelun käyttäjätunnuksensa ja hyväksynyt kirjautumisen pankki.fi-palveluun omalla pankin tunnistussovelluksellaan. Tämän jälkeen asiakas on hyväksynyt ulkopuolisen käynnistämiä maksuja. Kaikista ulkopuolisen käynnistämistä kirjautumisista ja maksutapahtumista ulkopuoliselle on tullut asiakkaalle vahvistus- ja lisävahvistuspyynnöt. Lisäksi ulkopuolinen on saatuaan haltuun asiakkaan käyttäjätunnuksen ja päästyään kirjautumaan asiakkaan digipalveluun voinut tehdä siirtoja asiakkaan käytössä olevien tilien välillä ilman vahvaa sähköistä tunnistamista.

Tilisiirrot ulkopuolisille on tehty vahvasti sähköisesti tunnistautuneena ja maksuista on lähetetty asiakkaalle tekstiviestitse lisävahvistuspyynnöt hänen lisävahvistusnumeroonsa. Maksunvahvistuspyyntöjä on ollut useita, jotka on vahvistettu tunnistussovelluksella.

Ulkopuolinen on käynnistänyt kirjautumisen [pankki].fi-palveluun, jonka asiakas on hyväksynyt tunnistussovelluksellaan. Sovelluksessa näkynyt vahvistuspyyntö on ollut suomenkielinen. Asiakkaalle on näkynyt seuraava viesti vahvistuksenpyynnössä:

Vahvistuspyyntö
Tunnistaudut palveluun
[pankki].fi
Jos epäilet väärinkäyttöä, hylkää pyyntö. Vahvista vain pyynnöt, jotka olet itse valinnut muussa palvelussa vahvistettavaksi [pankin tunnistussovelluksella].

Maksujen vahvistuspyynnöt ovat olleet pankin toimittaman referenssikuvan kaltaisia.                 

Vahvistuspyyntö
5E27
[pankki].fi
Godkänn betalning
F176 5XXX XXXX XXXX XX
10. 000,00 €

Maksu välitetään maksunsaajalle yksinomaan
kansainvälisen tilinumeron IBANin perusteella,
vaikka maksaja olisi antanut sen lisäksi muitakin tietoja
maksutapahtuman toteuttamiseksi.
Jos epäilet väärinkäyttöä, hylkää pyyntö. Vahvista
vain pyynnöt, jotka olet valinnut muussa
palvelussa vahvistettavaksi [tunnistussovelluksella].
Hylkää
[tunnistussovellus]-PIN
Jatka

Näissä vahvistuspyynnöissä ns. vakiotekstit ovat olleet suomeksi, koska asiakas käyttää suomenkielistä pankkisovellusta, mutta tapahtumakohtaiset tekstit ovat olleet ruotsiksi, koska tapahtumat käynnistänyt taho on avannut verkkopankki-istunnon ruotsinkielisenä. Nimenomaan turvallisuussyistä asiakkaan tunnuksiin liitettyyn puhelinnumeroon on lähetetty pankin toimesta 27.9.2024 seuraavanlaiset lisävahvistustekstiviestit:

27.9.2024 klo 15.59.01
Du vill i vår tjänst betala 1 500,00 EUR på kontot FI18 XXXX XXXX XXXX XX. Kontrollera uppgifterna och bekräfta med koden 7153 i mobilappen.
[Pankki]

27.9.2024 klo 15.57.56
Du vill i vår tjänst betala 1 500,00 EUR på kontot FI18 XXXX XXXX XXXX XX. Kontrollera uppgifterna och bekräfta med koden 7677 i mobilappen.
[Pankki]

27.9.2024 klo 15.56.16
Du vill i vår tjänst betala 1 500,00 EUR på kontot FI18 XXXX XXXX XXXX XX. Kontrollera uppgifterna och bekräfta med koden 6674 i mobilappen.
[Pankki]

27.9.2024 klo 15.55.08
Du vill i vår tjänst betala 1 500,00 EUR på kontot FI18 XXXX XXXX XXXX XX. Kontrollera uppgifterna och bekräfta med koden 6568 I mobilappen.
[Pankki]

27.9.2024 klo 15.48.01
Du vill i vår tjänst betala 1 000,00 EUR på kontot FI16 XXXX XXXX XXXX XX. Kontrollera uppgifterna och bekräfta med koden 0851 i mobilappen.
[Pankki]

Asiakkaan pankkitunnukset on suljettu 27.09.2024 klo 17.15 pankin toimesta turvallisuussyistä. Pankki on toimittanut listan käsiteltävään tapaukseen liittyvistä tilisiirroista. Listassa on yli 50 tilisiirtoa.

Kaikista punaisella merkityistä tapahtumista asiakas on saanut vahvistuspyynnön, jonka hän on hyväksynyt omalla tunnistussovelluksellaan, lisäksi viidestä punaisella merkitystä tapahtumasta on lähetetty asiakkaalle tekstiviestillä lisävahvistuspyyntö. Asiakas on hyväksynyt jokaisen vahvistus- ja lisävahvistuspyynnön. Kyseiset tapahtumat on tehty vahvasti sähköisesti tunnistautuneena. Vahvistustapahtumia on ollut kymmeniä. Pankki katsoo, että mahdolliset useammat lisävahvistusviestit tai omien tilien välisistä siirroista lähetetyt vahvistusviestit eivät olisi vähentäneet vahingon määrää, sillä asiakas on joka tapauksessa hyväksynyt kaikki maksut, huolimatta niiden runsaasta määrästä.

Mustalla merkityissä omien käyttöoikeustilien välisissä siirroissa ei ole edellytetty vahvaa tunnistamista. Kaikilta listatuilta asiakkaan käyttöoikeustileiltä on voinut tehdä maksutoimeksiantoja suoraan pankin ulkopuolelle.

Maksuista on pankissa tehty maksunpalautuspyynnöt asiakkaan pyynnön mukaisesti. Pyynnöt on tehty pankista kahtena päivänä, sillä ensin on puutteellisen ohjeistuksen vuoksi tehty pyynnöt koosteena yhdellä pyynnöllä ja seuraavana päivän oikealla tavalla erikseen jokaisesta maksusta. Pankista on edistetty palautuspyyntöjä myös puhelimitse saajien pankkeihin. Ensimmäisetkin pyynnöt on tehty vasta kolme päivää tapahtuneen jälkeen, joten on epätodennäköistä, että palautuksia olisi saatu, vaikka pyynnöt olisi alun perin tehty oikealla tavalla.

Ensisijaisesti kyseessä on maksupalvelulain mukainen suostumus maksutapahtumille. Asiakas on antanut maksupalvelulain mukaisesti suostumuksensa maksuille. Pankki on asiakkaan kanssa sovitun mukaisesti toimittanut asiakkaalle maksujen vahvistuspyynnöt hänen henkilökohtaisessa käytössään olevaan laitteeseen ladattuun pankin mobiilisovellukseen. Pyynnöt ovat sisältäneet tiedot maksujen määristä ja saajien tilinumeroista. Vahvistuspyynnöissä maksut on pyydetty vahvistamaan tunnistussovelluksella.

Hyväksymällä maksut tekstiviesteissä pyydetyn mukaisesti tunnistussovelluksellaan asiakas on antanut maksupalvelulain 38 §:n mukaiset suostumukset maksuille, eikä kysymys ole oikeudettomasta käytöstä.

Toissijaisesti kyseessä on tunnuksen haltijan törkeä huolimattomuus.
Maksupalvelulain mukaan asiakas vastaa verkkopalvelutunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos oikeudeton käyttö johtuu siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja verkkopalvelutunnusten yleisten ehtojen mukaisia velvollisuuksiaan, ja asiakkaan huolimattomuuden katsotaan olevan törkeää. Asiakas vastaa pankkitunnusten huolellisesta säilyttämisestä, koska viime kädessä ainoastaan maksuvälineenhaltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän maksuvälinettään säilyttää ja käyttää.

Pankki on useaan otteeseen vuoden 2024 aikana varoittanut asiakkaitaan tietojenkalastelusta. Pankki katsoo yleisen tietämyksen ja pankin antamien ohjeiden ja varoitusten perusteella, että asiakkaan tulisi olla tietoinen tunnusten turvallisesta käytöstä.

Tässä tapauksessa asiakas on luovuttanut käyttäjätunnuksensa ulkopuoliselle, ja tämän jälkeen itse tunnistussovelluksellaan hyväksynyt ulkopuolisen kirjautumisen asiakkaan [pankki].fi-palveluun. Tämän jälkeen asiakas on tunnistussovelluksellaan ja tekstiviestillä lähetetyllä lisävahvistuskoodilla hyväksynyt kolmannen käynnistämät tilisiirrot ulkopuolisille. Pankin lisävahvistusviestit ovat olleet ruotsinkielisiä, sillä ulkopuolinen on kirjautunut ruotsinkieliselle [pankki].fi-sivustolle. Lisävahvistusviestin kieli määräytyy aina sen mukaan, millä kielellä istunto on avattu selaimessa. Tässä tapauksessa ulkopuolinen on kirjautunut asiakkaan käyttäjätunnuksella ruotsinkieliselle [pankki].fi-sivustolle. Lisävahvistusviestit ovat sisältäneet tiedon maksun määrästä ja saajan tilinumerosta tai kehotuksen tarkastaa maksu tai hyväksyä luoton nosto. Asiakkaan olisi tullut reagoida ja olla hyväksymättä tapahtumia, kun hän huomasi, että viestien kieli ei vastannut hänen normaalia asiointikieltään, eikä hänen ollut tarkoitus tehdä viestissä ilmoitettuja toimia. Mikäli asiakas ei ole ymmärtänyt viestien sisältöä, asiakkaan olisi tullut pidättyä tapahtumien vahvistamisesta ja lisävahvistamisesta. Näin ollen pankki ei ole asiassa korvausvelvollinen, vaan korvaushakemuksen kohteena oleva oikeudeton käyttö jää kokonaisuudessaan asiakkaan omalle vastuulle.

Kun otetaan huomioon edellä kuvatut yksityiskohdat; käyttäjätunnuksen luovuttaminen ulkopuoliselle ja maksujen hyväksyminen tunnistussovelluksella sekä lisävahvistaminen, pankki katsoo asiakkaan toimineen kokonaisuutena arvioiden törkeän huolimattomasti. Maksujen vahvistaminen ja luoton nostamisen hyväksyminen osoittaa, että asiakas ei joko lukenut hänelle lähetettyjä viestejä tai on jättänyt ne kokonaan huomiotta.

Maksupalvelulain mukaisesti olennaista on asiakkaan oma toiminta; suostumuksen antaminen tai törkeä huolimattomuus johtavat siihen, että vastuu reklamoiduista maksuista on asiakkaalla.

Pankin toimet asiakkaiden varoittamiseksi. Väärinkäytösten ehkäisemiseksi pankki on aktiivisesti varoittanut asiakkaittaan verkkopalvelutunnusten kalastelukampanjoista muun muassa seuraavilla tiedotteilla:
9.8.2024 Juuri nyt: Huijarit käyttävät tekaistuja lainahakemuksia tunnusten kalastelussa —Varo pankin nimissä soitettavia huijauspuheluita
4.7.2024 Kalasteluviesteissä tekeydytään pankin yhteyshenkilöksi — varo näitä viestejä!
7.5.2024 Juuri nyt: Varo huijauspuheluita pankin nimissä — älä kerro pankin tunnuksiasi kenellekään
26.4.2024 Juuri nyt: Yritysten nimissä lähetetään kalasteluviestejä — älä klikkaa viestien linkeistä

Pankki on ohjeistanut asiakkaitaan olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjautua sähköpostitse tulleen linkin kautta. Lisäksi pankki on ohjeistanut, että kirjauduttaessa verkkopankkiin, tulee kirjoittaa verkkopankin osoite selainriville itse tai käyttää tallennettua kirjanmerkkiä. Jos mahdollista, asiointiin on suositeltu käytettävän mobiilisovellusta.

Pankki vetoaa maksupalvelulain säännöksiin (38, 53 ja 62 §) sekä soveltuvien sopimusehtojen kohtiin 16.1, 16.1.1 ja 17.2.1.1.

Asiakkaalle on pankkitunnusehtojen tekemisen yhteydessä myös annettu Tärkeää tietoa [pankin] tunnuksistasi -niminen asiakirja, jossa todetaan: "Pankki, poliisi tai viranomainen ei koskaan kysy tunnustasi tai sen osia puhelimessa tai esimerkiksi tekstiviestillä, sähköpostilla tai pikaviestipalvelulla. Näin toimii vain rikollinen. Jos sinulle lähetetään linkki viestillä, älä kirjaudu tai anna tunnuksesi osia sen kautta. Vahvista tunnistussovelluksella tai avainlukulistalla vain ne tapahtumat, joita olet itse tekemässä.

Tarkista sivuston osoite, jolle syötät tunnuksesi. Pankin palveluihin voit kirjautua turvallisesti pankin mobiilisovelluksessa tai kirjoittamalla verkkoselaimen osoiteriville www.[pankki].fi. Tunnus on turvallista antaa myös palveluihin, jotka on kerrottu pankin verkkosivuilla osoitteessa [pankki].fi/tunnukset kohdassa "Täältä voit tarkistaa [pankin] tarjoamien palveluiden osoitteet ja nimet".

Uusimmissa viesteissään asiakas toteaa, että pankin tulisi tiedottaa paremmin huijauksista suoraan asiakasta. Kuten jo aiemmin on vastattu, varoituksia on nähtävillä myös mobiilipankkisovelluksessa, kirjautumissivulla. Sivun ylälaidassa on varoituskolmiolla merkitty turvatiedote. Tiedotteita ei piilotella. Se, että asiakas ei ole varoituksia huomannut tai lukenut ei vähennä asiakkaan vastuuta vahingosta. Pankki pyrkii jatkuvasti eri tavoin varoittamaan asiakkaita erilaisista huijauksista. Myöskin maksunvahvistusviesteissä varoitetaan väärinkäytöksistä ja kehotetaan asiakasta hyväksymään vain itse käynnistämänsä maksut.

Asiakas myös edelleen kyseenalaistaa sulkupalvelun toimintaa. Kuten on jo kerrottu, sulkupalvelu ei voi pysäyttää asiakkaan hyväksymiä maksuja tai vetää varoja takaisin saajan tililtä. Sulkupalveluun asiakas voi ilmoittaa, kun kortti tai tunnukset ovat kadonneet tai joutuneet vääriin käsiin, jolloin niiden käyttö jatkossa estetään.

Pankille annettu maksutoimeksianto on peruuttamaton ja maksupalvelulain mukaan pankin velvollisuus on toteuttaa maksu, jolle asiakas on antanut lain mukaisen suostumuksen. Asiakkaan pyynnöstä pankki voi tehdä maksunpalautuspyynnön. Tämän pyynnön pankki lähettää maksunsaajan pankkiin. Maksunsaajan pankki tiedustelee tämän jälkeen maksunsaajalta, voidaanko maksu palauttaa. Ilman maksunsaajan lupaa, pankki ei voi palauttaa maksua. Maksun palautus on aina riippuvainen maksunsaajan suostumuksesta. Tässä tapauksessa suostumuksia ei ole saatu.

Maksunpalautuspyynnöt on tehty pankissa ensin virheellisesti 30.9.2024. Näitä virheellisiä pyyntöjä ei ole vastauksessa tarkemmin listattu, sillä olennaisia ovat olleet 1.10.2024 oikein tehdyt palautuspyynnöt. Pankki on toimittanut listan palautuspyynnöistä kellonaikoineen. Lista on manuaalisesti kasattu jälkikäteen pankin järjestelmästä.

Palautuksiin ei ole saatu maksunsaajan suostumusta, joten varat ovat jääneet pyynnöistä huolimatta palautumatta. Merkitystä ei ole sillä, onko kyseisellä maksunsaajan tilillä varoja. Tässä tapauksessa on ilmeisesti osa varoista saatu poliisin takavarikkopäätöksellä jäädytettyä maksunsaajan tilille ja rikosprosessin kautta palautettua asiakkaalle. Tämä on pankin tekemästä maksunpalautuspyynnöstä täysin erillinen prosessi, eikä pankilla ole samoja valtuuksia kuin poliisilla.

Asiakkaan mainitsemat kaksi siirtoa (1 110 euroa ja 878 euroa) omien käyttöoikeustilien välillä on kesäkuussa tarkasteltu uudelleen ja todettu, että 1 110 euron siirto on sellainen, jonka pankki korvaa asiakkaalle. Korvaukseen on päädytty, sillä tili A on ollut tapahtumahetkellä yhteisomistuksessa kahden muun henkilön kanssa. Tili A:lta on tehty mainittu 1 110 euron siirto asiakkaan henkilökohtaiselle tilille, josta varat on siirretty edelleen ulkopuoliselle. Tili B on ollut yksin asiakkaan omistama tili ja näin ollen mainittu 878 euron siirto on siirretty asiakkaan omien henkilökohtaisten tilien välillä, joten varat ovat ollut jatkuvasti asiakkaan omassa valinnassa ennen kuin asiakas on päättänyt hyväksyä varojen siirron ulkopuoliselle. Asiakkaalle ei ole tapahtunut vahinkoa tililtä B tehdystä 878 euron siirrosta, joten pankki katsoo, ettei ole velvollinen korvaamaan varoja.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu asiaan soveltuvat pankkitunnusehdot, voimassa 18.11.2022 alkaen.

Ratkaisusuositus

Kysymyksenasettelu

Pankin ja asiakkaan välisen vastuunjaon ratkaisemiseksi asiassa on ensin arvioitava, onko asiakas antanut maksutapahtumille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa vai onko maksutapahtumia pidettävä oikeudettomina. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, asiassa tulee arvioitavaksi, onko maksuvälineen oikeudeton käyttö johtunut siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin sekä pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on ollut.

Siinä tapauksessa, että vastuu rikollisista maksutapahtumista olisi jäämässä asiakkaalle, asiassa tulee vielä arvioitavaksi, onko pankki vastuussa asiakkaalle aiheutuneesta vahingosta sillä perusteella, että on tehnyt virheen maksunpalautuksia pyytäessään tai siksi, ettei pankin turvallisuusosasto ole pysäyttänyt reklamoituja maksuja.

Viimeiseksi asiassa tulee arvioitavaksi asiakkaan omien käyttöoikeustilien välisen siirron osalta vahvan tunnistamisen puuttumisen vaikutus vastuunjakoon.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 38 § (Maksajan suostumus maksutapahtuman toteuttamiseen.) 1 momentin mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n 1 momentin mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1) käyttää maksutiliään tietoverkon välityksellä;
2) käynnistää sähköisen maksutapahtuman;
3) toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.

Lainkohdan 5 momentin mukaan
Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.

Pankin 18.11.2022 alkaen voimassa olleiden tunnus- ja digisopimuksen (jäljempänä pankkitunnusehdot) tunnusten säilyttämistä ja sallitun käytön rajoituksia koskevan ehtokohdan mukaan
Sinulle luovutettu tunnus on henkilökohtainen. Tunnusta tai osaakaan siitä ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle […]
Tunnusta tai osaa niistä et koskaan saa:
– kertoa suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessasi [pankin] puhelinpalveluun näppäilet tunnuksen omaan puhelimeesi, samoin näppäilet tunnuksen puhelimeesi, jos haluat varmentaa sinulle tulevan puhelun olevan [pankin] soittama;
– luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille.;
– antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella etkä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.[…]

Pankkitunnusehtojen kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä koskevan ehtokohdan mukaan
Vastaat Tunnusten oikeudettomasta käytöstä, jos
1. olet luovuttanut tunnuksesi niiden käyttöön oikeudettomalle,
2. tunnuksen tai sen osan katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu omasta huolimattomuudestasi tai siitä, että olet laiminlyönyt näiden ehtojen 16. tai 17. kohdan mukaiset velvollisuutesi tai
[…]
Vastaat tunnuksen oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos olet luovuttanut tunnuksesi niiden käyttöön oikeudettomalle.

Pankkitunnusehtojen Maksutoimeksiannot -kohdan mukaan
Voit antaa pankille maksutoimeksiantoja [pankin] digitaalisissa palveluissa. […]
[Pankin] digitaalisiin palveluihin kirjautumisen jälkeen annat suostumuksesi maksutoimeksiannon toteuttamiseen hyväksymällä toimeksiannon. Tämä koskee myös Verkkomaksu-painiketta.
[…]

Asian arviointi

Suostumus maksutapahtuman toteuttamiselle

Maksupalvelulain 38 §:n 1 momentin mukaan maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Asiassa on riidatonta, että rikollisen asiakkaan verkkopankissa tekemät maksutoimeksiannot on vahvistettu asiakkaan käytössä olevalla pankin tunnistussovelluksella lukuun ottamatta asiakkaan käytössä olevien tilien välisiä ns. sisäisiä tilisiirtoja. Asiakas on kertonut pyrkineensä mitätöimään hänen nimissään otettuja lainahakemuksia ja on näin ollen harhaanjohdettuna vahvistanut maksutapahtumat tunnistussovelluksellaan.

Pankkilautakunta on ratkaisukäytännössään (mm. FINE-070953, FINE-068327, FINE-69519-Z1W5M) vakiintuneesti katsonut, että tapauksissa, joissa rikoksen uhriksi joutunut asiakas on tullut itse hyväksyneeksi riidanalaiset maksut esimerkiksi omassa puhelimessaan olevalla pankin mobiilisovelluksella ja sovelluksessa on ennen vahvistuksen antamista näkynyt vahvistettavan maksun tiedot, asiakas on antanut maksuille maksupalvelulain 38 §:ssä ja sovellettavissa ehdoissa tarkoitetun suostumuksensa eikä kyseessä olevat maksutapahtumat tällöin ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia. Tämän vuoksi em. kaltaisissa tapauksissa ei ole katsottu olleen perusteita pankin vastuulle siitä vahingosta, joka maksuista on asiakkaalle aiheutunut.

Sen sijaan sellaisissa tapauksissa (esim. FINE-033198), joissa asiakas on rikollisen harhaanjohtamana vahvistanut maksun tietämättä tai näkemättä maksun tietoja, Pankkilautakunta on katsonut, ettei asiakas ole antanut maksupalvelulain 38 §:ssä tarkoitettua suostumustaan ja tällaista maksua on pidettävä oikeudettomana.

Nyt arvioitavana olevassa tapauksessa vahvistuspyynnöt ovat sisältäneet tiedot vahvistettavista maksuista, mutta vahvistuspyynnöt ja lisävahvistustekstiviestit ovat olleet olennaisilta osiltaan ruotsiksi, mikä on poikennut asiakkaan tavanomaisesta ja sopimuksenmukaisesta asiointikielestä. 

Kun otetaan huomioon maksupalvelusääntelyn ja erityisesti oikeudettomia maksutapahtumia koskevien säännösten tarkoitus turvata korkeatasoinen kuluttajansuoja koko unionissa ja sitoa tappion jakautuminen palveluntarjoajan ja maksupalvelun käyttäjän välillä käyttäjän tuottamukseen, Pankkilautakunta toteaa, ettei maksupalvelulain 38 §:n tarkoitettua sovitulla tavalla annettua suostumusta tule tulkita ainakaan laajentavasti maksupalvelunkäyttäjän vahingoksi.

Nyt arvioitavassa tapauksessa, jossa maksutoimeksiannot on luonut ulkopuolinen taho asiakkaan verkkopankissa asiakkaan tietämättä, ja asiakas on vahvistanut tapahtumat harhaanjohdettuna ymmärtämättä hyväksyvänsä maksuja ja saatuaan sovitusta kielestä poikkeavalla kielellä maksujen vahvistuspyynnöt, Pankkilautakunta katsoo, ettei asiakas ole antanut maksutapahtumille maksupalvelulain 38 §:ssä tarkoitettua suostumustaan. Pankkilautakunta katsoo, että ko. maksuja on pidettävä oikeudettomina.

Huolimattomuuden arviointi

Pankkilautakunnan vakiintuneen ratkaisulinjan mukaan huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluu se, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Sovitusta ja tavanomaisesti käytetystä asiointikielestä poikkeavalla kielellä tulleiden viestien osalta Pankkilautakunta on ratkaisukäytännössään katsonut, että mikäli asiakas ei kielimuurin vuoksi ymmärrä tai voi olla varma, mihin pankin tekstiviestitse toimittama koodi on tarkoitettu, tulisi hänen huolellisesti toimiessaan keskeyttää asiointinsa. Mikäli asiakas ei ole keskeyttänyt asiointiaan taikka selvittänyt pankilta saamiensa viestien sisältöä, vaikka on saanut pankiltaan tavanomaisesta asiointikielestään poikkeavalla kielellä viestejä, on se otettu huomioon tuottamusarvioinnissa asiakkaan vahingoksi.

Pankkilautakunta katsoo myös tässä tapauksessa, että huolellisesti toimivan asiakkaan tulisi hylätä vahvistettava pyyntö, mikäli asiakas ei ymmärrä pankin lähettämän vahvistuspyynnön sisältöä esimerkiksi siitä syystä, että se poikkeaa asiakkaan tavanomaisesta asiointikielestä.

Annetun selvityksen mukaan pankki on aktiivisesti varoittanut asiakkaittaan huijauksista koskien muun muassa tekaistuja lainahakemuksia sekä pankin nimissä tulevia huijauspuheluita. Lisäksi tunnistussovelluksessa näkyneissä vahvistuspyynnöissä on varoitettu väärinkäytöstä asiakkaan tavanomaisella asiointikielellä, vaikka itse maksun vahvistusta koskeva tieto onkin ollut ruotsin kielellä.

Asiakkaan annettua käyttäjätunnuksensa soittajalle ja vahvistettua tunnistussovelluksellaan kymmenittäin maksutapahtumia entuudestaan tuntemattoman soittajan pyynnöstä joko ymmärtämättä ja selvittämättä vahvistuspyyntöjen sisältöjä, taikka jätettyä ne kokonaan lukematta, on asiakkaan menettelyn kokonaisuutena katsottava poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavaan täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Pankin korvausvastuu muilla perusteilla

Asiakas olettaa pankin viivytelleen maksunpalautuspyyntöjen tekemisessä ja vaatii pankkia korvaamaan aiheutuneen vahingon tämän perusteella. Pankki myöntää tehneensä virheen palautuspyyntöjen teossa 30.9.2024, mutta ei katso sillä olleen vaikutusta palautuspyyntöihin saatuihin vastauksiin.

Asiassa on riidatonta, että pankki on lain ja sopimusehtojen edellyttämällä tavalla välittänyt asiakkaan verkkopankkitunnuksilla tehdyt maksutoimeksiannot eteenpäin toiseen pankkiin eikä pankki ole enää 30.9. asiakkaan pyytäessä maksujen palautusta voinut yksipuolisesti peruuttaa jo tehtyjä tilisiirtoja. Maksujen palautuminen pankin tekemien maksupalautuspyyntöjen johdosta olisi siten edellyttänyt maksunsaajan suostumusta.

Annetun selvityksen mukaan pankki on tehnyt maksunpalautuspyynnöt oikealla tavalla 1.10.2024. Tässä tapauksessa suostumusta palautukseen ei ole kuitenkaan saatu yhdenkään maksun osalta, vaikka asiakkaankin kertoman mukaan asiakaspalvelija otti jo asiakkaan konttorikäynnin aikana yhteyttä maksunsaajan pankkiin rahojen takaisin saamiseksi. Ottaen lisäksi huomioon annetun selvityksen siitä, että varoja on ollut maksunsaajan tilillä vielä 16.10, jolloin maksunsaaja olisi voinut halutessaan suostua 1.10. tehtyihin palautuspyyntöihin, mutta näin ei ole tapahtunut, Pankkilautakunta pitää todennäköisenä, ettei maksunsaaja olisi antanut suostumustaan varojen palautukseen myöskään siinä tapauksessa, että kaikki maksunpalautuspyynnöt olisi tehty onnistuneesti 30.9.2024. Em. perusteella Pankkilautakunta katsoo jääneen näyttämättä, että pankin virhe palautuspyyntöjen teossa olisi aiheuttanut asiakkaalle vahinkoa.

Asiakas on lisäksi katsonut pankin turvatoimien pettäneen, kun tilisiirtoja ei ole pysäytetty pankin toimesta.

Tämän osalta Pankkilautakunta toteaa, että maksupalvelusääntelyn perusteella pankeilla on oltava käytössään maksutapahtumien valvontamekanismit, joiden avulla ne voivat havaita oikeudettomat ja petolliset maksutapahtumat. Tällä velvollisuudella ei ole kuitenkaan lautakunnan ratkaisukäytännössä (kuten FINE-059114 ja FINE-71529-W1F8J0) katsottu olevan suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta, eikä pankki siten ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa tässäkään tapauksessa yksinomaan sillä perusteella, ettei se ole estänyt ko. oikeudettomia maksuja niiden tekohetkellä.

Asiakkaan omien tilien välisen siirron vaikutus vahingon määrään

Asiassa on vielä ratkaistava, onko pankki velvollinen korvaamaan rikollisen tekemän ns. sisäisen siirron, joka on tehty asiakkaan käyttötililtä toiselle asiakkaan käyttötilille edellyttämättä asiakkaan vahvaa tunnistamista. Riita koskee tämän osalta yhtä 878 euron suuruista maksua, sillä pankki on korvannut käsittelyn aikana toisen asiakkaan vaatiman omien tilien välisen siirron asiakkaalle.

Maksupalvelun käyttäjä ei maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan vastaa maksuvälineensä oikeudettomasta käytöstä, jos maksupalveluntarjoaja ei ole maksuvälineen oikeudettoman käytön yhteydessä edellyttänyt maksajan vahvaa tunnistamista. Näin ollen salliessaan sääntelyn asettamissa rajoissa maksutapahtumia tehtävän ilman maksajan vahvaa tunnistamista ottaa pankki vastuulleen riskin maksuvälineen oikeudettomasta käytöstä.

Tässä tapauksessa asiakkaalle aiheutunut vahinko on realisoitunut, kun asiakas on edellä esitetyn tavoin vahvistanut tunnistussovelluksellaan maksut ulkopuoliselle taholle. Vastuu maksuista aiheutuneesta vahingosta jää siten lähtökohtaisesti asiakkaalle hänen tuottamuksensa perusteella. Pankkilautakunta on kuitenkin aiemmassa ratkaisukäytännössään (FINE-081446, FINE-65394-H0X4X, FINE-63017-Q4V0Q) katsonut maksupalvelusääntelyn nojalla pankin vastaavan vahingosta siltä osin kuin vahingon määrään on vaikuttanut ennen ulkopuoliselle menneitä maksuja tehdyt verkkopankin sisäiset siirrot ja se, että pankki on sallinut kyseisten oikeudettomien siirtojen tekemisen ilman maksajan vahvaa tunnistamista.

Nyt arvioitavassa asiassa on kyse kahden asiakkaan yksin omistaman käyttötilin välisestä siirrosta, jolta molemmilta on ollut mahdollista tehdä maksuja suoraan ulkopuoliselle. Sisäinen siirto on siten ollut tarpeeton, ja sitä on pidettävä enemmänkin sattumanvaraisena siirtona kuin välttämättömänä siirtona rikoksen ja täten asiakkaalle aiheutuneen vahingon toteutumiseksi. Se ei ole vaikuttanut vahvistettavien maksujen lukumäärään eikä se ole myöskään itsessään aiheuttanut vahinkoa tilinomistajalle. Näin ollen Pankkilautakunta katsoo, että tässä tapauksessa käyttötilien välinen siirto ei ole ollut edellytyksenä vahingon lopulliselle realisoitumiselle, eikä se ole siten lisännyt asiakkaalle aiheutuneen vahingon määrää.   

Lopputulos

Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Tykkä

Jäsenet:
Ketola
Punakivi
Tervonen
Atrila

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä