Haku

FINE-72074-N7X3M6

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-72074-N7X3M6 (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 13.05.2025

Miten vastuu asiakkaan puhelimessa olevalla pankin tunnistussovelluksella vahvistetusta tiisiirrosta jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksajan suostumus maksutapahtumalle.

Tapahtumatiedot

Asiakas on joutunut 9.7.2022 Verohallinnon nimissä tehdyn huijauksen uhriksi, minkä seurauksena asiakkaan verkkopankissa on tehty asiakkaan tililtä 1500 euron tilisiirto.

Asiakkaan verkkopankkiin kirjautuminen ja em. maksu on vahvistettu asiakkaan puhelimessa olleella pankin tunnistussovelluksella.

Asiakkaan vaatimukset

Asiakas vaatii pankkia korvaamaan 1500 euroa.

Heinäkuussa 2022 asiakkaan tililtä tehtiin 1500 euron tilisiirto, jota asiakas ei ole itse tehnyt poliisin tutkinnan mukaan. Asiakas ihmettelee, miten on mahdollista, että pankki pesee kätensä asiasta, kun poliisin tutkintaraportissa on kirjoitettu, että asiakas ei ole tehnyt tilisiirtoa itse, vaan huijarit ovat päässeet linkin kautta pankin järjestelmiin.

Asiakas on tehnyt reklamaation hyvissä ajoin, mutta pankki on yli vuoden potkinut asiakasta ja sitten kirjoittanut, että vuosi on ohi ja heillä ei ole enää mahdollisuutta tarkistaa, millä laitteella tilisiirtoon on suostuttu ja hyväksytty se. Eli pankin mukaan poliisi on väärässä. Asiakas ihmettelee, miten se on lain mukaan mahdollista. Yli kaksi vuotta asiakas on kysynyt sekä pankilta että FINEltä, millä tavalla huijarit ovat päässeet pankin järjestelmiin, mutta ei ole saanut kertaakaan vastausta. Asiakas on myös kysynyt pankilta, miten tilisiirto on tehty ilman suostumusta, mutta ei ole saanut mitään vastausta pankilta. Vasta yli vuoden päästä pankki on vastannut, että koska on mennyt yli vuosi, pankilla ei ole enää mahdollisuutta tarkistaa, miltä laitteelta vahvistus on tehty. Eli pankki on asiakkaan näkemyksen mukaan tahallaan tuhlannut aikaa, jotta ei kanna mitään vastuuta. Vaikka asiakas on tehnyt reklamaation viikon päästä tapahtuneesta. Pankki ei myöskään kertonut, että asiakas voisi kääntyä asiassa FINEn puoleen kysyäkseen neuvoja.

Palveluntarjoajan kanta

Pankki ei jaa asiakkaan näkemystä suostumuksen puuttumisesta maksutapahtuman toteuttamisessa. Pankki katsoo, että asiakas on hyväksynyt kiistanalaisen maksun omilla pankkitunnuksillaan. Laki, sopimusehdot ja vastaavissa tapauksissa noudatettu ratkaisukäytäntö puoltavat sitä, että kyse ei ole ollut oikeudettomasta maksutapahtumasta, josta aiheutuneesta vahingosta pankin tulisi vastata.

Tapahtumainkuvaus

Pankin tulkinnan mukaan asiakas on 9.7.2022 joutunut Verohallinnon nimissä tehdyn kalasteluhuijauksen kohteeksi. Asiakkaalle on ilmoitettu, että hänelle on tulossa veronpalautus ja sen vastaanottamiseksi asiakkaan tulisi kirjautua ilmoitetulle verkkosivustolle. Kyseinen verkkosivusto on todellisuudessa ollut huijaussivusto. Asiakas on todennäköisesti syöttänyt verkkopankkinsa käyttäjätunnuksen verkkosivustolle, jolloin huijarit ovat saaneet sen käyttöönsä. Asiakkaan verkkopankin käyttäjätunnuksen avulla huijarit ovat voineet käynnistää kirjautumisen asiakkaan verkkopankkiin. Asiakas on todennäköisesti luullut vahvistavansa kirjautumisen Verohallinnon sivulle pankin tunnistussovelluksen kautta, mutta todellisuudessa hän on hyväksynyt huijareiden kirjautumisen verkkopankkiinsa.

Asiakas on tehnyt asiasta rikosilmoituksen ja poliisin tutkintailmoituksessa todetaan, että ”tilisiirto on tehty IP-osoitteesta XXX.XXX.XXX.XXX -> palveluntarjoaja XXXXXXXXXX, Belgium”. Pankin tulkinnan mukaan PayPal on saanut selville IP-osoitteen, josta riidanalainen maksutapahtuma on Trustly Group AB:n maksupalvelun kautta käynnistetty.

Maksun vahvistaminen

Pankin lokitietojen mukaan maksun vahvistamisessa on käytetty asiakkaan verkkopankkitunnuksille aktivoitua pankin tunnistussovellusta, joka on otettu käyttöön 8.10.2020 ja joka on ollut asennettuna iPhone-laitteelle. Koska asiakas uudestaan reklamoi 9.7.2022 toteutetusta maksutapahtumasta vasta näin pitkän ajan kuluttua vuoden 2024 lopulla, pankilla ei enää ole yksilöintitietoja laitteesta, jossa asiakkaan pankin tunnistussovellus on ollut asennettuna. Sovellus on pankissa olevan tiedon mukaan poistettu käytöstä 4.8.2022.

Kun asiakas vie maksuun liittyvän erimielisyyden Vakuutus- ja rahoitusneuvonta FINE:n ratkaistavaksi näin pitkän ajan kuluttua sen toteutumisesta, pankki ei valitettavasti enää pysty palauttamaan kyseiseen maksuun liittyviä lokitietoja. Pankin järjestelmässä ei enää ole asiakkaan pankin tunnistussovellukseen lähetetyn maksutapahtumaa koskevan viestin tarkkaa sisältöä.

Heinäkuussa 2022 pankilla on ollut käytössä Trustlyn kautta toteutettavien tilisiirtojen osalta vahvistusviestimalli, jossa on näytetty seuraavat maksua koskevat tiedot:

[Pankki] Open Banking pyytää vahvistusta
Haluan maksaa
summa: xx,xx EUR
saaja: Trustly Group AB
tilille: FIxxxxxxxxxxxx
päiväys: x.x.2022
tililtä: FIxxxxxxxxxxxx

Vahvistuspyyntömallin viesti on yksiselitteinen sen osalta, että se koskee maksun tekemistä. Varojen vastaanottaminen ei edellytä vastaanottajan vahvistusta pankille. Asiakkaan verkkopankissa luotu riidanalainen 1500 euron maksutapahtuma on vahvistettu 9.7.2022 klo 11:21 asiakkaan pankin tunnistussovelluksella.

Asiakas on reklamoinut pankille riidanalaisesta maksusta 22.7.2022, 3.5.2023 ja 25.5.2023. Pankki on käsitellyt asiakkaan reklamaatiot ja kiistänyt korvausvastuunsa vedoten siihen, että asiakas on itse hyväksynyt maksun pankin tunnistussovelluksellaan. Pankki on myös erikseen ollut yhteydessä asiakkaaseen asian selvittämiseksi.

Sovellettava lainsäädäntö ja sopimusehdot

Pankki vetoaa asiassa maksupalvelulain 38 §:ään, jonka mukaan maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Asiakkaan ja pankin väliseen sopimukseen pankkitunnuksista on maksutapahtuman aikana sovellettu pankin pankkitunnuksilla käytettävien palveluiden yleisiä sopimusehtoja 10.2018.

Ehtojen kohdan 3.3.1 mukaan tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille verkkopankkipalvelun edellyttämällä tavalla.

Vastuu pankkitunnuksilla vahvistetusta maksusta

Kun asiakas antaa pankille maksupalvelulain mukaisen suostumuksensa maksun veloittamiseen, maksu ei ole oikeudeton, vaikka maksu jälkikäteen osoittautuisi liittyneen verkkorikollisuuteen ja huijaustapaukseen. Erehtyminen maksun todellisesta luonteesta ei siirrä vastuuta maksutapahtumasta pankille, kun maksutapahtuma tehdään asiakkaan suostumuksella käyttäen maksupalvelulaissa tarkoitettua vahvaa tunnistamista. Pankin lokitietojen mukaan riidanalainen maksu on vahvistettu asiakkaan pankin tunnistussovelluksella. Pankin käytössä on kesällä 2022 ollut Trustlyn kautta tehtävissä maksuissa vahvistusviesti, jossa olennaiset maksutiedot näytetään maksun hyväksymisen yhteydessä. Pankin näkemyksen mukaan asiakas on ennen maksun vahvistamista nähnyt pankin tunnistussovelluksessa maksunsaajan nimen ja tilinumeron sekä maksun summan, joten kyseistä maksua ei tule maksupalvelulain mukaan pitää oikeudettomana. Tämän johdosta pankki katsoo, että pankilla ei ole velvollisuutta korvata asiakkaalle vahinkoa, joka on aiheutunut asiakkaalle riidan kohteena olevasta maksusta.

Pankin asiakkaan joutuminen petoksen uhriksi on erittäin valitettavaa. Pankin on kuitenkin kohdeltava kaikkia samassa tilanteessa olevia asiakkaitaan yhdenvertaisesti. Voimassa olevasta lainsäädännöstä johtuu, että tietojenkalastelutapaukset, joissa asiakas itse hyväksyy maksun, eivät kuulu pankin taloudellisen vastuun piiriin.

Sopimusehdot ja lainsäädäntö

Maksupalvelulain (290/2010) 38 §:n (Maksajan suostumus maksutapahtuman toteuttamiseen) 1 momentin mukaan

Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Maksupalvelulain (Maksuvälineestä huolehtiminen) 53 §:n 1 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Maksupalvelulain 54 §:n (Katoamisilmoitus) 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelulain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:

1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;

2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;

3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai

4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin pankkitunnuksilla käytettävien palveluiden yleisten sopimusehtojen 10.2018 (Pankkitunnusehdot) kohdan 3.3.1 Tunnistautuminen verkkopalveluun mukaan

Tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille verkkopankkipalvelun edellyttämällä tavalla.

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi FINEn on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. tilisiirrolle vai onko maksutapahtumaa pidettävä oikeudettomana. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on FINEn arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on ollut.

Tapahtumienkulku ja asiakkaan menettelyn arviointi

Pankin antamien selvitysten mukaan kirjautuminen asiakkaan verkkopankkiin 9.7.2022 sekä ko. tilisiirto on vahvistettu asiakkaan omalla pankin tunnistussovelluksella, joka on otettu käyttöön 8.10.2020. Saadun selvityksen mukaan tunnistussovelluksessa on ennen vahvistuksen antamista maksulle näkynyt pyyntö antaa vahvistus maksulle sekä kyseisen maksun tiedot mukaan lukien maksun euromäärä sekä saaja.

FINEllä ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä. FINE katsoo selvitetyksi, että asiakas on – ilmeisesti epähuomiossa – vahvistanut riidanalaisen tilisiirron puhelimessaan olleella pankin tunnistussovelluksella.

Pankkilautakunta on ratkaisukäytännössään (mm. FINE-070953, FINE-068327) vakiintuneesti katsonut, että tapauksissa, joissa rikoksen uhriksi joutunut asiakas on tullut itse hyväksyneeksi riidanalaiset maksut esimerkiksi omassa puhelimessaan olevalla pankin mobiilisovelluksella ja sovelluksessa on ennen vahvistuksen antamista näkynyt vahvistettavan maksun tiedot, asiakas on antanut maksuille maksupalvelulain 38 §:ssä ja sovellettavissa ehdoissa tarkoitetun suostumuksensa eivätkä kyseessä olevat maksutapahtumat tällöin ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia. Tämän vuoksi tapauksissa ei ole katsottu olleen myöskään perusteita pankin vastuulle siitä vahingosta, joka maksuista on asiakkaalle aiheutunut. Vaikka asiakas on antanut em. vahvistukset tultuaan rikollisten harhaan johtamaksi, ei tällä ole ollut merkitystä asiakkaan ja pankin välisessä suhteessa.

FINEllä ei ole syytä arvioida nyt käsiteltävänä olevaa tapausta eri tavalla. FINE katsoo, että asiakas on antanut pankille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtuman toteuttamiseen ja pankkitunnusehtojen mukaisen suostumuksensa tilisiirtoa koskevan maksutoimeksiannon toteuttamiselle. Näin ollen FINE katsoo, ettei kyseessä oleva maksutapahtuma ole maksupalvelulaissa tarkoitetulla tavalla oikeudeton eikä käsillä siten ole perusteita pankin vastuulle tilisiirrosta asiakkaalle aiheutuneesta vahingosta.

Lopputulos

Edellä esitettyyn viitaten FINE ei suosita asiassa hyvitystä.

FINE Vakuutus- ja rahoitusneuvonta

Jaostopäällikkö Hidén
Esittelijä Pöntinen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä