Haku

FINE-72097-N9K9G9

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-72097-N9K9G9 (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 06.10.2025

Miten vastuu pankin tunnistussovelluksella vahvistetuista asiakkaan tililtä tehdystä oikeudettomasta tilisiirrosta ja verkossa asiakkaan korttitiedoin tehdyistä korttimaksuista jakautuu asiakkaan ja pankin välillä? Verkkopankkitunnusten oikeudeton käyttö. Lausumatta jättäminen.

Tapahtumatiedot

Rikolliset ovat asiakkaan verkkopankkitunnuksia (käyttäjätunnusta, salasanaa, tiettyä lukua asiakkaan avaintunnuskortista) ja pankin asiakkaalle 30.7.2024 klo 17.28 lähettämässä tekstiviestissä ollutta vahvistuskoodia käyttäen ladanneet ja aktivoineet omalle laitteelleen asiakkaan nimissä olleen pankin tunnistussovelluksen. Turvallisuussyistä pankin tunnistussovellus on sen käyttöönoton jälkeen asetettu lukittuun tilaan, mistä pankki on ilmoittanut asiakkaalle tekstiviestitse klo 17.30. Tämän jälkeen on asiakkaan käytössä 12.7.2024 lähtien olleella tunnistussovelluksella vahvistaen kirjauduttu asiakkaan verkkopankkiin klo 17.31 ja avattu rikollisten laitteelleen aktivoiman uuden tunnistussovelluksen lukitus klo 17.32.

Rikolliset ovat kirjautuneet asiakkaan mobiilipankkiin 30.7.2024 klo 17.34 em. uudella tunnistussovelluksella. Asiakkaan tililtä on tunnistussovelluksella vahvistaen tehty 30.7.2024 klo 18.00 yksi 2.753,90 euron tilisiirto ja klo 17.45-17.49 neljä yhteisarvoltaan 10.607,26 euron korttiostoa aiheuttaen yhteensä 13.361,16 euron vahingon.

Asiakkaan valitus

Asiakas vaatii pankkia palauttamaan hänen pankkitililleen 13.361,16 euroa, josta 2.753,90 euroa arvopäivällä 30.7.2024 ja 10.607,26 euroa arvopäivällä 1.8.2024, tai viivästyskorkoineen 1.8.2024 lukien.

Tapahtumat

Asiakas osti 12.7.2024 uuden puhelimen ja uuden puhelinliittymän Telian liikkeestä. Puhelinoperaattori vaihtui Elisalta Teliaan. Hän sai Telian liikkeestä puhelimen ja uuden sim-kortin. Asiakas otti uuden puhelimen käyttöön kotonaan 12.7. ja laittoi vanhan sim-kortin uuteen puhelimeen. Asiakas käytti uutta puhelinta vanhalla sim-kortilla 12.7.-22.7.2024 eli kunnes uusi sim-kortti/Iiittymä alkoi toimia.

Asiakas latasi 12.7.2024 uuteen puhelimeensa pankin mobiilisovelluksen ja pankin tunnistussovelluksen. Hän latasi ne AppStoresta. Asiakas toimi ohjeiden mukaisesti ja hänen uudessa puhelimessaan toimi pankin tunnistussovellus ja mobiilipankki. Myös verkkopankki toimi tunnistussovelluksen kautta.

13.7.2024      asiakas vei vanhan puhelimensa Telian liikkeeseen vaihtohyvitystä varten. Sitä ennen hän palautti puhelimeen tehdasasetukset Telian antamien ohjeiden mukaisesti. Asiakkaan uusi sim-kortti/Iiittymä alkoi toimia ma 22.7.2024 klo 15.30, jolloin hän kotonaan laittoi uuden sim-kortin uuteen puhelimeensa ja hävitti huolellisesti vanhan.

Pankin vastauksessaan esille ottamat kaksi ostosta Temusta 29.7.2024 ovat asiakkaan tekemiä. Asiakas meni Temun sivuille AppStoresta ladatun sovelluksen kautta eikä asiakas ole tallentanut pankkikorttinsa tietoja Temun sivuille tai sovellukseen.

Asiakas on 30.7.2024 klo 17.30 ollut vanhempiensa kanssa kotona. Samaan aikaan asiakkaan pankkivälineet on anastettu, asiakkaan tililtä on tehty ja yritetty tehdä oikeudettomia tilisiirtoja ja korttimaksuja.

Pankki on vastauksissaan esittänyt, miten tapahtumat ovat pankin mukaan edenneet. Asiakas ei ole syöttänyt pankin asiakkaan puhelimeen 30.7.2024 klo 17.28 saapuneen tekstiviestissä ollutta koodia mihinkään. Asiakas ei havainnut tekstiviestiä ennen kuin 31.7. pankin konttorissa, kun asiaa selvitettiin ja virkailija kysyi, onko asiakas saanut pankilta tekstiviestejä. Virkailija oli vieressä, kun viesti avattiin. Pankkilautakunta on ratkaisussaan FINE-049807 katsonut, ettei huolellisenkaan pankkitunnustenhaltijan voida edellyttää lukevan kaikki vastaanottamansa viestit välittömästi.

Koodi on annettu sovellukseen ip-osoitteesta, joka WHOIS-haun mukaan kuuluu DNA:n ip-osoitteisiin eli koodi on annettu DNA:n liittymästä tai verkosta. Asiakkaalla, hänen vanhemmillaan tai heidän kotonaan ei ole ollut DNA:n liittymiä tai verkkoa.

Pankin toinen, sovelluksen käyttöönotosta kertova tekstiviesti on saapunut asiakkaan puhelimeen 30.7.2024 klo 17.30. Asiakas ei havainnut tekstiviestiä ennen kuin 31.7.2024 pankin konttorissa ja virkailija oli vieressä, kun viesti avattiin.

Klo 17.45-17.49 neljä tunnuslukusovelluksella vahvistettua korttitapahtumaa on oikeudettomasti lähteneet asiakkaan tililtä. Klo 17.53 korttitapahtuma ei ole veloittunut asiakkaan tililtä. Nets on lä-hettänyt asiakkaalle tapahtumaa koskevan tiedustelun tekstiviestinä 31.7.2024 klo 6.58. Myöskään eri ip-osoitteesta klo 17.56 tehty korttitapahtuma, josta asiakas sai tietää vasta pankin vastauksesta, ei veloittunut asiakkaan tililtä. Oikeudeton tilisiirto on vahvistettu 18.00 ja veloitettu asiakkaan tililtä.

Asiakas havaitsi 31.7.2024 herättyään puhelimessaan klo 6.58 saapuneen tekstiviestin Netsiltä, jonka mukaan hänen Visa Debit -kortilleen on 30.7.2024 tullut tapahtuma tai tapahtumayritys. Tekstiviestin mukaan viestiin tulee vastata B, jos ei tunnista tapahtumaa.  Viestin havaittuaan asiakas katsoi heti tiliään mobiilisovelluksen kautta ja havaitsi, että tililtä oli veloitettu hänelle tuntemattomia maksuja eri kohteisiin huomattava määrä. Sen jälkeen hän välittömästi vastasi klo 9.33 tekstiviestiin B. Keskusteltuaan isänsä kanssa asiakas soitti Netsiin klo 10.11. Nets sulki kortin ja ohjasi tekemään korttireklamaation.

Pankki sulki asiakkaan verkkopankin ja asiakas teki netissä rikosilmoituksen.  Neljä oikeudetonta korttimaksua olivat vielä katevarauksina tililtä, mutta pankin mukaan niitä ei voinut peruuttaa. Pankki pyysi Verkkokauppa.com:n pankilta tilisiirtomaksun palauttamista, mutta Verkkokauppa.com:n pankki kieltäytyi siitä. Asiakkaalle Verkkokauppa.com kieltäytyi antamasta ostosta koskevia tietoja ja asiakirjoja.

Tapahtumien arviointia

Asiakas ei ole tehnyt nyt kyseessä olevia tilisiirtoa ja korttiostoja eikä ole hyväksynyt tai vahvistanut mitään näistä veloituksista tehtäväksi pankkitililtään tai pankkikortillaan. Asiakas ei ole vapaaehtoisesti ja tietoisesti luovuttanut verkkopankkiaan tai mobiilipankkiaan tai tunnistusvälineitään kenellekään. Asiakas ei ole ollut tietoinen, että 30.7.2024 hänen tunnistussovelluksensa oli otettu käyttöön toisessa laitteessa eikä hän ole vahvistanut käyttöönottoa pankin lähettämällä koodilla, jonka viestin hän havaitsi avaamattomana vasta seuraavana päivänä pankin konttorissa. Asiakas ei ole 30.7.2024 toiminut millään tavalla siten, että tunnuslukusovellus on käyttöönotettu.

Asiakas on toiminut huolellisesti tunnistusvälineiden/turvatunnuksien kanssa sekä käyttäessään mobiili- ja verkkopankkiaan. Asiakas oli säästänyt pankkitililleen pienipalkkaisesta työstään yli vuoden aikana kertyneet palkkatulot tulevia opintojaan varten.

Tapahtumia koskien asiakas on sen varassa, mitä pankki on niistä hänelle kertonut, koska hänellä ei ole näkymää ja pääsyä pankin järjestelmiin omaa pankkitiliään ja sen tapahtumia koskien.

Asiakkaan tililtä 30.7.2024 tehdyt veloitukset poikkeavat täysin hänen aiemmasta tililiikenteestään ja maksukäyttäytymisestään. Asiakas oli heinäkuussa 2024 vanhempiensa luona asuva nuori, joka oli saanut pientä palkkaa ja jonka maksuliikenne oli varsin vähäistä ja maksut pienimääräisiä. Ostot/maksut ovat olleet poikkeuksellisen suuria hänen aiempiin ostoihinsa/maksuihinsa verrattuna ja ne on tehty hyvin nopeassa tahdissa 15 minuun aikana sen jälkeen, kun tunnuslukusovellus oli vain hetki aiemmin otettu käyttöön toisessa laitteessa vahvistamalla se koodilla ip-osoitteesta, jota asiakas ei ole käyttänyt.

Tapahtumien 15 minuutin aikana verkkopankkiin ja mobiilipankkiin on kirjauduttu useista eri IP-osoitteista ja kahdesti venäläisestä IP-osoitteesta. Oikeudettomat korttitapahtumat ja tilisiirto on vahvistettu osoitteesta/osoitteista, joille ei löydy user-agenttia, ip-osoitetta tai porttia. Veloituksissa www.revolut.com viestinä on "London". Veloituksissa Ares Techology on viestinä "Lusaka" eli Sambian pääkaupunki ja USD-valuutta.

Näiden neljän korttioston jälkeen ja ennen tilisiirtoa on pankkitililtä 30.7.2024 tehty veloitusyritys 298,00 EUR guardarian.com, josta vasta pankki on lähettänyt turvallisuusviestin, mutta senkin vasta seuraavana päivänä 31.7.2024. Vaikka veloitusyritys 298,00 EUR 30.7.2024 klo 17:53:22 on johtanut turvallisuusviestin lähtemiseen, on senkin jälkeen klo 18:00:18 tililtä veloittunut poikkeuksellisen suuri 2.753,90 euron maksu Verkkokauppa.com:lle.

Pankki kertoo sivuillaan lainsäädännölliseen velvoitteeseen perustuen kysyvänsä asiakkailtaan muun muassa tietoja asiakkaan toiminnasta, tietoja taloudellisesta asemasta ja tietoja maksuliikenteestä, koska pankin tulee lainsäädännön velvoittamana tuntea ja tunnistaa asiakkaansa. Pankin mukaan pankin vastuulla on torjua laitonta toimintaa, kuten esimerkiksi huijausyrityksiä, identiteettivarkauksia, terrorismin rahoittamista tai harmaata taloutta.

Kun pankin velvollisuutena on ollut tuntea asiakkaansa, on pankin monitorointijärjestelmän tullut ehdottomasti havaita jo ensimmäinen 30.7.2024 klo 17:45:55 tehty oikeudeton maksutapahtuma sen ilmeisen poikkeuksellisuuden vuoksi. Pankilla on oikeus ja myös velvollisuus pysäyttää poikkeukselliset maksutapahtumat. Jos pankki olisi huolehtinut monitorointijärjestelmänsä asianmukaisesta toiminnasta, ei oikeudettomia maksutapahtumia olisi onnistuttu tekemään ja pankkitunnusten päätyminen oikeudettomiin käsiin olisi selvinnyt ennen kuin vahinkoa olisi päässyt syntymään.

Pankin vastuulla on järjestelmien ja muiden mekanismien avulla havaita epätavalliset ja poikkeukselliset maksutapahtumat sekä pysäyttää ne, etenkin kun epätavallisia ja poikkeuksellisia maksutapahtumia on yhtä useampi peräkkäin. Jos pankki epäonnistuu tässä velvollisuudessaan, pankilla on vastuu korvata omasta huolimattomuudestaan aiheutunut vahinko.

Pankin ehdoista ilmenee, että pankilla on myös ollut käytettävissään keinot estää poikkeukselliset maksutapahtumat ja jo sellaisiksi epäillyt. Pankilla ei siis ole ollut velvollisuutta suorittaa nyt kyseessä olevia maksutapahtumia.

Pankin palautus-/korvausvastuu

Maksupalvelulain ja -direktiivin mukaisessa vastuunjaossa riskit maksuvälineen oikeudettomasta käytöstä kuuluvat lähtökohtaisesti palveluntarjoajalle, eli pankille. Asiakas viittaa maksupalvelulain 38, 53, 62 ja 63 §:in ja lain säätämiseen johtaneeseen hallituksen esitykseen HE 169/2009. Asiakas viittaa myös maksupalveludirektiiviin (2015/2366/EU) sekä Itä-Suomen hovioikeuden 13.11.2024 antamassa tuomiossa no 462 todettuun ja korkeimman oikeuden ratkaisukäytäntöön.

Asiakas ei ole antanut suostumustaan kyseessä olevien maksutapahtumien toteuttamiseen. Kyseessä olevat maksutapahtumat ovat oikeudettomia. Asiakas ei vastaa maksuvälineellä pankkitililtään tehdyistä oikeudettomista veloituksista, koska hän ei ole vapaaehtoisesti ja tietoisesti luovuttanut maksuvälinettään kenellekään. Asiakas ei myöskään ole laiminlyönyt velvollisuuksiaan eikä hän ole toiminut tahallisesti tai törkeän huolimattomasti.

Palveluntarjoajan on osaltaan varmistettava, että muilla kuin maksuvälineen haltijalla ei ole pääsyä maksuvälineeseen liittyviin henkilökohtaisiin turvatunnuksiin. Asiakas on käyttänyt maksuvälinettä sitä koskevien ehtojen mukaisesti ja huolehtinut maksuvälineestä ja siihen liittyvistä turvatunnuksista säännöksen mukaisesti.

Vaikka palveluntarjoaja voisi näyttää, että suostumus maksutapahtuman toteuttamiseen on annettu maksuvälineellä, se ei riitä osoittamaan, että maksuvälineen haltija olisi antanut suostumuksensa maksutapahtuman toteuttamiseen, toiminut petollisesti taikka laiminlyönyt tahallisesti tai törkeän huolimattomasti 53 ja 54 §:ssä säädettyjä velvollisuuksiaan (maksupalvelulaki 72.3 §).

Pankki esittää, että asiakas on jättänyt pankin varoitusviestit huomiotta ja huomannut ne vasta seuraavana päivänä konttorissa, vaikka pankkitunnuksilla käytettävien palveluiden yleisissä ehdoissa velvoitetaan pankkitunnusten haltija seuraamaan aktiivisesti pankin lähettämiä viestejä ja ilmoituksia.  Pankin viestit 30.7.2024 eivät ole olleet ehdoissa tarkoitettuja ilmoituksia sisällöltään eikä pankki ole lähettänyt viestejään verkkopankkiin. Aktiviinen seuraaminen ei myöskään tarkoita reaaliaikaista seuraamisvelvoitetta. Ehdoista on ymmärrettävissä, että aktiivinen seuraaminen tarkoittaa seuraamista seitsemän päivän kuluessa.

Pankki myös katsoo, että asiakkaan ikä huomioon ottaen puhelin on ollut hänen läheisyydessään. Puhelin on nuorilla usein heidän läheisyydessään, mutta nuoret eivät reaaliaikaisesti eli heti seuraa tekstiviestejä eikä sitä voi kohtuudella keneltäkään edellyttääkään.

Juuri siitä syystä, että asiakas on huolehtinut pankkitunnuksistaan huolellisesti ja käyttänyt niitä huolellisesti eikä hänellä ole tietoa, miten hänen pankkitunnuksensa ovat joutuneet vääriin käsiin, on epäily kohdistunut vanhan puhelimen antamiseen vaihtohyvityksenä Telialle. Mahdollista tietysti myös on, että pankin tietoturvassa on ollut aukko, jota on käytetty hyväksi.

Yhteenveto

Asiassa on ilmeisesti riidatonta, että asiakas ei ole menetellyt tahallisesti. Asiakas ei ole menetellyt törkeän huolimattomasti pankkitunnuksia säilyttäessään ja käyttäessään eikä törkeän huolimatonta ole myöskään olla huomaamatta välittömästi pankin lähettämiä turvallisuusviestejä.

Kun asiakas ei ole menetellyt törkeän huolimattomasti, vastuu maksutapahtumista jää pankille. Pankin ja asiakkaan väliseen vastuunjakoon vaikuttaa myös pankin laiminlyönti tunnistaa ja estää asiakkaan tili- ja maksukäyttäytymisestä ja pankkitunnusten käytöstä merkittävästi poikenneet maksutapahtumat. Maksupalvelulain mukaan pankki on palautusvelvollinen asiakkaan tililtä veloitetusta tilisiirrosta ja korttiostoista.

Pankin vastine

Pankin tunnuslukusovelluksen käyttöönottaminen yleisesti

Jotta pankin tunnuslukusovelluksen asentaminen laitteelle onnistuu, on pankki julkaissut verkkosivuillaan ohjeistuksen, jotka selventävät asiaa. Tunnuslukusovelluksen käyttöönottaminen pankin verkkopankkitunnuksilla edellyttää aina pankin verkkopankkitunnuksen käyttäjätunnuksen ja salasanan, avaintunnuskortin turvaluvun sekä tekstiviestin lisävahvistuksen koodin. Turvallisuussyistä tunnuslukusovellus ei ole heti käytössä, vaan asiakkaan tulee vielä avata lukitus verkkopankista. Tällöin asiakkaan on kirjauduttava verkkopankkiin avaintunnuskortilla, tai jos hän on ottamassa tunnuslukusovellusta käyttöön uuteen laitteeseen, hän voi kirjautua käyttämällä vanhan laitteen tunnuslukusovellusta. Asiakas poistaa lukituksen.

Tapahtumat verkkopankissa ja tunnuslukusovelluksen lataukset

Asiakas kertoi vaihtaneensa 12.7.2024 puhelinta ja samalla puhelinoperaattoria Elisalta Telialle. Asiakas otti uuden puhelimen käyttöön kotonaan 12.7.2014 asettaen vanhan Elisan SIM-kortin uuteen puhelimeensa. Asiakas käytti uutta puhelinta vanhalla SIM-kortilla 12.7.-22.7.2024 kunnes uusi liittymä ja SIM-kortti alkoi toimia. Asiakas latasi 12.7.2024 uuteen puhelimeen pankin tunnuslukusovelluksen AppStoresta. Asiakas on ottanut 12.7.2024 tunnuslukusovelluksen käyttöön uuteen puhelimeensa avainlukukortilla. Aiemmin on kerrottu, kuinka tunnuslukusovellus yleisesti otetaan käyttöön ja missä vaiheessa avainlukukorttia tarvitaan ja kuinka asiakas poistaa sovelluksen lukituksen.

Tunnuslukusovelluksen lataaminen 30.7.2024 on edellyttänyt asiakkaan käyttäjätunnuksen, salasanan ja avainlukukoodin. Pankki on lähettänyt alla olevat viestit.
Klo 17:28:36
"Tunnuksillasi ollaan ottamassa käyttöön [pankin tunnistussovellus]-sovellusta. Väärinkäytösten estämiseksi jatka vain, jos olet aktivoimassa sovellusta itse. Viestin koodi annetaan mobiililaitteessa olevaan [pankin tunnistussovellus] -sovellukseen. Älä anna koodia muualle. Viesti-ID: KTC8K. Vertaa ID:tä [pankin tunnistussovelluksen] tunnisteeseen ja vahvista käyttöönotto koodilla: 202462.
Jos et ole aktivoimassa sovellusta itse, sulje tunnuksesi välittömästi sulkupalvelussamme 020 333. Terveisin, [pankki]"

Klo 17:30:24 Tunnuslukusovelluksen käyttöönotto avainlukukortilla. Tunnuslukusovelluksen käyttöönotto on tehty asiakkaan käyttäjätunnuksella, salasannalla ja avainlukukoodilla ja tekstiviestikoodilla. Tunnistussovelluksen lukitus on avattu verkkopankissa, jonne on kirjaannuttu tunnuslukusovelluksella, joka on luotu 12.7.2024.

Klo 17:30:56 pankin tekstiviesti puhelinnumeroon:
"Olet aktivoimassa [pankin] tunnistussovellusta. Turvallisuussyistä [pankin tunnistussovellus] -sovellus ei ole heti käytettävissä. Seuraa sovelluksen ohjeita lukituksen avaamiseen ja tarvittaessa ole yhteydessä asiakaspalveluumme +358xxxxxxxx.
Jos et ole aktivoimassa sovellusta itse mobiililaitteessa, soita sulku-palveluumme 020 333. Terveisin, [pankki]!
Tämä tekstiviesti on saapunut asiakkaan puhelimeen 30.7.2024 klo 17.30. Asiakas ei kertomansa mukaan havainnut tekstiviestiä ennen kuin 31.7.2024 pankin konttorissa, kun asiaa selvitettiin.

Klo 17:31:35 Kirjautuminen verkkopankkiin tunnuslukusovelluksella, jonka asiakas itse on aktivoinut 12.7.2024. Klo 17:32:18 avattu 30.7.2024 käyttöönotetun tunnuslukusovelluksen lukitus asiakkaan tunnuslukusovelluksella. Klo 17:34:05 kirjautuminen mobiilipankkiin 30.7.2024 aktivoidulla uudella tunnuslukusovelluksella. Klo 17:34:05 mobiilipankkiin kirjautumiseen käytetty tunnuslukusovellusta uutta tunnuslukusovellusta. Klo 17:34:45 Face ID:n käyttöönotto. Tämän jälkeen mobiilipankissa on tehty asiakkaan kuvaamat toimet ja vahvistettu maksutapahtumat.

Toisin sanoen klo 17:30 on avainlukukortilla uusi tunnuslukusovellus otettu käyttöön, ja tämän jälkeen klo 17:31 on vielä vanhalla tunnuslukusovelluksella (aktivoitu käyttöön 12.7.2024) kirjauduttu verkkoselainpohjaiseen verkkopankkiin, jotta on saatu tämä uusi tunnuslukusovellus toiselle laitteelle käyttöön.

Pankin käsityksen mukaan muuta vaihtoehtoa ei edelleenkään jää, kuin että A on toiminut itse tähän 30.7.2024 tunnuslukusovelluksen käyttöönottoon asti tai huijarilla on ollut A:n tunnuslukusovellus jo tämän 12.7.2024, jolloin tunnuslukusovellus rekisteröitiin käyttöön ennen tätä 30.7. aktivointia. 12.7.2024 aktivoitua tunnuslukusovellusta on käytetty, jotta on saatu aktivoitua 30.7. uusi tunnuslukusovellus.

Väitteiden osalta liittyen pankin lokitietoihin pankki huomauttaa, että mikäli asiakas käyttää kolmannen osapuolen palveluita (esimerkiksi korttiostot, sähköiset tunnistautumiset), pankki saa näistä tietoa lokeilleen vain rajatusti kolmansilta osapuolilta, sillä asiakas ei itse suoranaisesti tuolloin asioi verkkopankissa.

Asiakkaan käyttäytymisen arviointi

Pankki on arvioinut asiakkaan toimintaa suhteessa pankkitunnusten käyttöön ja säilyttämiseen. Pankin käsityksen mukaan asiakkaan käyttäjätunnukset, salasana ja avainlukulistan koodisto on onnistuttu huijaamaan joko jollain verkkosivustolla tai mahdollisesti esimerkiksi puhelimen vaihdon yhteydessä, jos ne ovat jääneet puhelimen tiedostoihin. Tunnuslukusovelluksen tapahtumien osalta on huomioitava, että klo 17:31:35 kirjautuminen verkkopankkiin on tehty asiakkaan 12.7. luomalla tunnuslukusovelluksella.

Asiakas on pankissa kertonut tyhjentäneensä puhelimensa palauttamalla puhelimen tehdasasetuksille. Epäselvää on kuitenkin, onko mahdollista, että pankkitunnusten osat olisi jääneet tässä vaiheessa puhelimeen vai missä vaiheessa asiakas on ne syöttänyt, niin, että ne kaikki on voitu saada käsiin.

Pankki on omalla toiminnallaan pyrkinyt varoittamaan asiakasta uuden tunnuslukusovelluksen lataamisesta asiakkaan tunnuksilla. Asiakas on saanut pankin lähettämät viestit, mutta hän on jättänyt viestit huomiotta ja huomannut ne vasta konttorissa seuraavana päivänä.

Pankki viittaa maksupalvelulain 53 ja 62 §:iin sekä 85 c §:n 3 momenttiin sekä pankin Henkilöasiakkaan pankkitunnuksilla käytettävien palveluiden yleisiin ehtoihin.

Pankkitunnusehdot edellyttävät pankkitunnusten säilyttämistä koskevassa kohdassa, ettei pankkitunnusten haltija luovuta tunnuksia kenellekään toiselle henkilölle. Tunnusten haltija sitoutuu säilyttämään pankkitunnuksiaan huolellisesti ja tunnusten osat erillään toisistaan siten, ettei kenelläkään ole mahdollisuutta saada niitä tietoonsa tai käyttää niitä. Tunnusten kaikkia osia ei saa säilyttää samassa säilytyspaikassa, kuten lompakossa tai käsilaukussa. Tunnusten haltijan on varmistettava säännöllisesti ja olosuhteiden edellyttämällä tavalla säännöllisesti, että tunnukset ovat tallella. Tunnuksia tai osaa niistä, esim. avaintunnuskortin turvaluku tai tunnistussovelluksen pin-koodi, ei koskaan saa kertoa suullisesti, puhelimitse, tekstiviestitse sähköpostilla tai muulla tavalla niitä kysyvälle ulkopuoliselle taholle.

Pankkitunnusehdoissa pankkitunnusten haltija velvoitetaan seuraamaan aktiivisesti pankin lähettämiä viestejä ja ilmoituksia. Huomioiden Asiakkaan ikä on oletettavaa, että puhelin on ollut hänen läheisyydessään ja hänen olisi viesteihin pitänyt reagoida, kun hän vietti aikaansa kertomallaan tavalla.

Pankin käsityksen mukaan asiakas on säilyttänyt/käyttänyt pankkitunnuksiaan niin, että kaikki tunnusten osat ovat joutuneet ulkopuoliselle. Pankki katsoo, että asiakas on toiminnalla, jolla kaikki pankkitunnusten osat ovat joutuneet ulkopuoliselle sekä lisäksi jättäessään huomiotta pankin lähettämät informatiiviset turvallisuusviestit menetellyt kokonaisuusarvioiden törkeän huolimattomasti. Asiakas on omalla toiminnallaan mahdollistanut tunnuslukusovelluksen lataamisen ulkopuoliselle. Asiakas vastaa vahingoista aina täysimääräisesti, jos hän on toiminut tahallisesti tai törkeän huolimattomasti.

Pankin käsityksen mukaan ko. tapahtumat eivät ole oikeudettomia, vaan niihin on annettu suostumus maksupalvelulain edellyttämällä tavalla vahvasti sähköisesti tunnistautuneena ja pankilla on ollut velvollisuus toteuttaa tapahtumat. Kokonaisuutena arvioiden asiakas on menetellyt törkeän huolimattomasti säilyttäessään pankkitunnuksiaan, eikä pankki ole velvollinen korvaamaan vaatimuksen kohteena olevia tapahtumia.

Maksujen monitorointi

Asiakas ihmettelee miksi maksu Verkkokauppa.comille on onnistunut, vaikka pienemmästä 298,00 euron guradian.com:lle menossa olleesta suorituksesta on lähetetty turvallisuusviesti. Tarkentamatta maksujen monitoroinnin toimintaperiaatteita laajemmin pankki tuo esille sen, että Verkkokauppa.com on tunnettu palveluntarjoaja. Asiakkaalla on mahdollisuus lisätä verkkopalveluissa luotettuja maksunsaajia ja Verkkokauppa.com on lisätty A:n verkkopankissa 30.4.2024 klo 18:00. Pankkien monitorointijärjestelmät voivat toimia eri tavalla monitoroidessaan eri toimijoille meneviä maksuja.

Pankki muistuttaa, että ip-osoite voi muuttua. Tähän vaikuttaa, jos käyttäjä käyttää VPN-yhteyttä tai jos esimerkiksi reitittimen asetukset on asetettu niin, että se antaa dynaamisen ip-osoitteen. Dynaaminen ip-osoite tarkoittaa ip-osoitetta, joka muuttuu ajan myötä. Se voi pysyä samana tietyn ajan, mutta se voi myös muuttua esimerkiksi silloin, kun laite käynnistetään uudelleen tai kun DHCP-palvelin päättää antaa uuden ip-osoitteen. Tämä on yleistä kotiverkoissa ja monissa yritysverkoissa, koska se helpottaa verkon hallintaa ja vähentää ip-osoitteiden manuaalisen määrityksen tarvetta

Suostumus maksutapahtumiin on annettu vahvasti sähköisesti tunnistautuneena, jolloin pankilla on ollut velvollisuus suorittaa kyseiset maksut. Asiakas on sopinut pankin kanssa 11.11.2020 verkkopankkisopimuksella yksittäisen maksun suuruudesta verkkopankissa ja pankki seuraa kyseistä maksurajaa, eikä kyseinen raja ole ylittynyt.

Pankki on 31.7.2024 heti asiakkaan ja hänen isänsä puhelun jälkeen ollut yhteydessä pankin clearingiin yrittäen pysäyttää maksut. Verkkopankissa on oletuksena, että käyttäjän tekemät maksut välitetään Suomessa olevalle tilille, mutta käyttäjä voi verkkopankissa muuttaa tätä oletusta. Järjestelmä huomauttaa verkkopankkiin tunnistautuneelle käyttäjälle, kun maksua verkkopankissa ollaan maksamassa muualle kuin Suomessa olevalle tilille, jolloin käyttäjän on muutettava verkkopankin oletuksia, jotta maksu voidaan toteuttaa. Näin on tapahtunut myös asiakkaan tapauksessa ja oletusarvoa on muutettu heti, kun se on ollut mahdollista tunnuslukusovelluksen lataamisen jälkeen.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

  • Henkilöasiakkaiden pankkitunnuksilla käytettävien palveluiden yleiset ehdot
  • Lokitiedot 1.7-31.7.2024
  • Tilitapahtumatietoja
  • Kuvakaappauksia asiakkaan vastanottamista pankin lähettämistä tekstiviesteistä (12.7.2024 klo 22.02, klo 22.03 ja 22.04)
  • Netsin tekstiviesti asiakkaalle 31.7.2024 ja asiakkaan vastaus siihen
  • IP-osoitteen 87.95.24.33 tiedot (DNA)
  • IP-osoitteen 93.106.0.75 tiedot (Telia)
  • IP-osoitteen 88.80.61.221 tiedot (Venäjä)
  • IP-osoitteen 87.95.22.10 tiedot (DNA)
  • Verkkotunnushaku-tuloksia
  • Rikosilmoitus 31.7.2024 ja Tutkinnan päätös 18.5.2025
  • Itä-Suomen hovioikeuden tuomio (S24/214)
  • Kuvakaappauksia Traficomin verkkosivujen Whois-palvelusta

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on. Lisäksi lautakunnan on arvioitava, vastaako pankki aiheutuneesta vahingosta sillä perusteella, ettei se ole estänyt ko. maksutapahtumia.

Sovellettavat lainkohdat ja sopimusehdot

Tapauksessa sovellettavaksi tulevat maksupalvelulain 53, 54, 62 ja 63 §:t sekä pankin henkilöasiakkaiden pankkitunnuksilla käytettävien palveluiden yleiset ehdot.

Asian arviointi

Tapahtumienkulku

Pankki on tapauksessa esittänyt järjestelmätietoihinsa perustuvan selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida ja saada käyttöönsä omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Asiassa saadun selvityksen mukaan rikolliset ovat nyt riidanalaisella tavalla saaneet tietoonsa asiakkaan verkkopankkitunnusten käyttäjätunnuksen, salasanan ja tietyn luvun asiakkaan avaintunnuskortista sekä pankin asiakkaalle 30.7.2024 klo 17.28 lähettämässä tekstiviestissä olleen vahvistuskoodin, joita käyttäen he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olleen pankin tunnistussovelluksen. Tämän jälkeen rikolliset ovat vielä päässeet asiakkaan verkkopankkiin, jonne kirjautuminen on vahvistettu asiakkaan omalla laitteella olevalla tunnistussovelluksella, ja avanneet verkkopankissa omalle laitteelleen aktivoimansa uuden tunnistussovelluksen lukituksen.

Pankkilautakunnassa on käsitelty viime vuosina lukuisia erilaisia verkossa tapahtuneita verkkopankkitunnusten kalastelua ja oikeudetonta käyttöä koskevia tapauksia ja erityisesti myös sellaisia, joissa rikolliset ovat tämän tapauksen tavoin onnistuneet aktivoimaan omalle laitteelleen asiakkaan nimissä olevan pankin tunnistussovelluksen. Tyypillisesti näissä tapauksissa uhri on päätynyt esimerkiksi hakukoneen taikka rikollisten uhrille lähettämässä viestissä olleen linkin kautta asioimaan pankin, jonkin viranomaisen tai esimerkiksi kuljetusliikkeen verkkosivuilta näyttäville rikollisten luomille valesivuille, joiden kautta uhrin sivuille esimerkiksi kirjautumistarkoituksessa syöttämät tiedot päätyvät rikollisten tietoon.

Pankkilautakunnan käsittelemässä tapauksessa FINE-051751 pankin tunnistussovelluksen käyttöönotto edellytti rikollisilta nyt käsiteltävänä olevan tapauksen tavoin asiakkaan pankkitunnustietojen ja pankin tekstiviestitse lähettämän aktivointikoodin lisäksi vielä uhrin verkkopankissa tehtävää tunnistussovelluksen lukituksen avaamista. Kyseisessä tapauksessa asiakas oli päätynyt hakukoneen kautta pankin verkkosivuilta näyttäville valesivuille, joilla hän oli käyttänyt pankkitunnuksiaan kirjautuakseen verkkopankkiinsa. Valesivujen kautta saamillaan tiedoilla rikolliset olivat aktivoineet käyttöönsä pankin tunnistussovelluksen ja myös poistaneet sovelluksen lukituksen uhrin verkkopankissa. Tunnistussovellusta käyttäen rikolliset olivat tämän jälkeen vahvistaneet tilisiirtoja asiakkaan tililtä ulkomaille. Asiassa saadun selvityksen perusteella ja erityisesti pankin lähettämien pankin tunnistussovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin sekä tunnistussovelluksen lukittu-tilasta kertovan tekstiviestin yksityiskohtaiset sisällöt huomioiden Pankkilautakunta katsoi 3.5.2023 antamassaan ratkaisusuosituksessa asiakkaan menettelyn osoittaneen maksupalvelulaissa tarkoitettua törkeää huolimattomuutta eikä lautakunta siten suosittanut asiassa hyvitystä.

Nyt käsiteltävänä olevassa tapauksessa asiakas kiistää asioineensa tapahtuma-aikaan millään verkkosivuilla pankkitunnuksiaan käyttäen taikka huomanneensa tai avanneensa pankin hänelle lähettämiä tekstiviestejä ennen kuin vasta seuraavana päivänä pankin konttorissa. Asiakkaan käsityksen mukaan tapahtunut liittyy hänen puhelinoperaattorinsa ja puhelimensa vaihtumiseen heinäkuussa 2024 sekä sen yhteydessä tapahtuneeseen vanhan puhelimen luovuttamiseen vaihtohyvitystä varten.

Pankkilautakunta katsoo, ettei sen ole asiassa saadun selvityksen perusteella mahdollista arvioida, ovatko asiassa rikollisille päätyneet ja tapahtuneen pankin tunnistussovelluksen aktivoimisen edellyttämät tiedot voineet päätyä asiakkaalta tekijöille muulla tavoin kuin asiakkaan omin aktiivisin toimin. Edelleen lautakunta katsoo, ettei sen ole mahdollista arvioida, onko tekijöiden asiakkaan verkkopankkiin 30.7.2024 klo 17.31 kirjautumisen vahvistaminen asiakkaan itse 12.7.2024 lataamalla tunnistussovelluksella voinut tapahtua muutoin kuin asiakkaan tekemänä.

Asiakkaan kiistäessä itse käyttäneensä pankkitunnuksiaan tapahtuma-aikaan tai luovuttaneensa niitä ja puhelintaan jonkun toisen käyttöön Pankkilautakunta katsoo tapahtumien kulun jäävän asiassa esitetyn selvityksen perusteella olennaisilta osin epäselväksi. Pankkilautakunnan ei ole saadun selvityksen perusteella mahdollista luotettavasti arvioida, mitä tapauksessa on todennäköisimmin tapahtunut ja miten oikeudettomien maksutapahtumien toteuttamisen edellyttämät pankkitunnus- ja aktivointikooditiedot ovat voineet päätyä rikollisten tietoon, saati sitä, mikä on asiakkaan mahdollisesti huolimattoman menettelyn myötävaikutus tapahtumien kulkuun.

Pankin menettelystä

Asiakas on tapauksessa vedonnut siihen, että pankin olisi tullut havaita ja pysäyttää eri ip-osoitteista tehdyt, vastikään ladatulla uudella tunnistussovelluksella vahvistetut ja asiakkaan normaalista tilikäyttäytymisestä täysin poikkeavat maksut.

Maksupalvelusääntelyn perusteella pankeilla on oltava käytössään maksutapahtumien valvontamekanismit, joiden avulla ne voivat havaita oikeudettomat ja petolliset maksutapahtumat. Pankkilautakunta on ratkaisukäytännössään jo vakiintuneesti todennut, ettei tällä velvollisuudella kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta. Pankkilautakunta katsoo siten, että pankki ei ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa yksinomaan sillä perusteella, ettei se ole estänyt ko. oikeudettomia tilisiirtoja niiden tekohetkellä.

Lopputulos

Pankkilautakunta katsoo, että pankki ei ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa yksinomaan sillä perusteella, ettei se ole estänyt ko. oikeudettomia tilisiirtoja niiden tekohetkellä. Näin ollen ratkaisevaa asiakkaan ja pankin välisen vastuunjaon kannalta on asiakkaan menettelyn arviointi maksupalvelulain vastuunjakosäännösten mukaisesti.

Pankkilautakunta katsoo, että tapauksessa esitetyn selvityksen perusteella tapahtumien kulku jää olennaisilta osin epäselväksi eikä lautakunta näin ollen pysty käytettävissään olevin keinoin luotettavasti ratkaisemaan asiakkaan ja pankin välisen vastuunjaon kannalta ratkaisevaa kysymystä siitä, onko asiakkaan pankkitunnusten oikeudeton käyttö johtunut asiakkaan huolimattomuudesta ja onko asiakkaan mahdollinen huolimattomuus törkeää.

Ohjesääntönsä mukaan Pankkilautakunta voi erityisestä syystä päättää, ettei se anna ratkaisusuositusta sen käsiteltäväksi saatetusta asiasta. Keskeisen tapahtumainkulun jäädessä edellä todetuin tavoin epäselväksi Pankkilautakunta päättää, ettei se anna ratkaisusuositusta tässä tapauksessa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Atrila
Piilo
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä