Tapahtumatiedot
Asiakas on ollut 9.12.2024 myymässä Vinted-alustan kautta laukkua, kun hän on joutunut petoksen uhriksi ja hänen tililtään on tehty 11.12.2024 kuusi oikeudetonta tilisiirtoa yhteisarvoltaan 50 380 euroa.
Tilisiirrot oli tehty 10.12.2024 toistuvina maksuina ja laitettu veloittumaan seuraavana päivänä, jolloin kaikki maksut ovat veloittuneet asiakkaan tililtä 11.12.2024 klo 4.15. Tilisiirrot on vahvistettu pankin tunnistussovelluksella, jonka rikolliset ovat ladanneet ja aktivoineet käyttöönsä omalle Android-laitteelleen 9.12.2024 kello 14.22. Sovelluksen käyttöönotto on edellyttänyt tekijältään asiakkaan pankkitunnustietoja (käyttäjätunnus ja salasana) sekä pankin asiakkaalle klo 14.22 lähettämässä tekstiviestissä ollutta aktivointikoodia. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"[Pankki] ID Activation Code
If you´re not trying to activate [pankki] ID, please contact us immediately.
Remember, we´ll never ask for you for this code, but a fraudster would, so stay safe and don´t share this code with anyone.
The code to complete your [pankki] ID activation is xxxxxx]
SMSID: xxxxxxxxxx".
Tunnistussovelluksen aktivoinnin jälkeen pankki on lähettänyt asiakkaalle klo 14.22 vielä seuraavanlaisen viestin:
”Great news, you´ve succesfully activated [Pankki] ID.
If you´re not the one trying to activate [Pankki] ID and you have received this message, please contact us immediately.
SMSID:xxxxxxxxxx”
Asiakas soitti sulkupalveluun 11.12.2024 aamulla huomattuaan tilinsä tyhjennetyn.
Asiakkaan valitus
Asiakas vaatii varastettujen 50 380 euron varojen täysimittaista palauttamista tililleen. Asiakas ei ole toiminut tilanteessa törkeän huolimattomasti. Jos pankin valvonta olisi toiminut siltä edellytettävällä tavalla, maksut olisi pysäytetty varmistamista varten. Edelleen, jos pankki olisi toiminut maksujen pysäyttämisen suhteen ripeästi ja neuvonut tekemään pikaisesti rikosilmoituksen, olisi varojen siirrot saatu pysäytettyä ennen niiden katoamista ulkomaille.
Asiakas joutui huijauksen uhriksi ja menetti pääosan eläkesäästöistään. Asiakas pyytää, että asiaa tarkastellaan huolellisuusvaatimuksen lisäksi myös pankin toiminnan näkökulmasta. Tapahtuneen valossa voidaan todeta, että pankki ei täytä huolellisen pankkitoiminnan tunnusmerkkejä asiakkaiden varojen säilyttämisessä.
Asiakas rekisteröityi ja laittoi laukun myyntiin 9.12. Vinted-alustalle. Joku oli kiinnostunut ja pyysi Messengerin kautta kuvia. Valeostaja rakensi luottamusta ehdottamalla ensin noutoa, mutta välimatkan takia päädyttiin lähetykseen. Kaikki täydellisellä suomen kielellä. Vintedin valeviestillä pyydettiin sähköpostiosoitetta, jonka jälkeen tuli viesti, että 1. kerralla maksun vastaanottajan täytyy tunnistautua ja yhdistää palveluun pankkitili. Sama käytäntö on esim. ToriDiilissä ja Zadaa:ssa rahanpesusäännösten vuoksi. Linkistä avautui kopio pankin sivustosta, johon asiakas täytti tunnukset. Tämän jälkeen pyydettiin pian tekstiviestinä lähetettävää varmennuskoodia, jonka jälkeen prosessi on valmis. Asiakas sai englanninkielisen viestin, josta siirsi koodin. Seuraavassa valeviestissä mainittiin, että palvelussa on ruuhkaa ja tilauksen prosessointi kestää 24 h.
Asiakas tulkitsi, että pankin viestit koodeineen liittyivät tunnistautumiseen ja tilin liittämiseen palveluun. Viestissä varoitettiin antamasta koodia ulkopuoliselle, mutta sitähän asiakas ei tässä ollut tekemässä. ID activation ei sanonut asiakkaalle mitään, koska ei ole teknisesti orientoitunut, ja esim. puhelimien vaihtoon liittyvät asiat ovat aina hoituneet perheenjäsenten avustuksella. Viestissä käytetty vieras kieli ja terminologia ei myöskään edesauttanut asian ymmärtämistä. Koko prosessi tapahtui parissa minuutissa ja se näyttäytyi asiakkaalle kokonaisuutena, mm. koodiviestin lähettämisestä ilmoitettiin etukäteen. Useissa pankkipalveluissa ja eri alustoilla lähetellään tekstiviestikoodeja henkilöllisyyden varmistamiseksi.
Asiakas ei epäillyt minkään olevan pielessä, kunnes 11.12. klo 8.20 huomasi, että tili oli tyhjennetty. Asiakas soitti välittömästi pankin sulkupalveluun ja sen jälkeen vielä asiakaspalveluun uusien tunnusten saamiseksi. Keskustelussa kävi ilmi, että rikosilmoituksella ei ole kiire. Asiakas jäi käsitykseen, että pankki hoitaa asiaa tästä eteenpäin ja yrittää pysäyttää maksuliikenteen. Asiakas luotti täysin pankin toimintaan. Tilisiirrot oli tehty toistuvaismaksuina, jotka eivät näy mobiilipankissa. Rikosilmoituksen asiakas teki lopulta iltapäivällä saatuaan uudet tunnukset. Poliisi ja KRP ovat kertoneet, että tutkinta ja rahojen palauttaminen ovat vaarantuneet huomattavasti viivästyksen takia. Poliisilaitokselle olisi pitänyt lähteä heti. Varat oli ensin siirretty turvatililtä käyttötilille ja sieltä eteenpäin toiseen pankkiin englanninkielisillä humoristisilla viesteillä varustettuna. Toisen pankin tilit saatiin lopulta suljettua vasta 12.12. iltapäivällä, jolloin varat oli jo siirretty eteenpäin ulkomaille. Myös toisen pankin toiminta on ollut liian hidasta, eikä se ole kyennyt tunnistamaan selkeästi petollisia tilisiirtoja, eikä rahanpesusäädösten rikkomista.
Tässä valeprosessissa ei mikään kohta poikennut muiden alustojen vastaavista toimintamalleista. Ei ole kohtuullista, että yhdellä vieraskielisellä viestillä lähetetyllä koodilla voidaan varastaa henkilön koko identiteetti ja varat. Kyseisen vahvistusapin siirtäminen täytyy olla turvallisempaa ja monivaiheisempaa. Tämä turvajärjestely on täysin pankin käsissä ja vastuulla, eikä asiakkaalla ole muita vaihtoehtoja pankkiasiointiin. On myös käsittämätöntä ja kohtuutonta, että käyttötililtä voidaan tehdä useita valtavia siirtoja, jotka poikkeavat täysin ko. tilin normaalista maksuliikenteestä. Lisäksi on todettava, että pankin väärä neuvonta ja toiminnan hitaus ovat johtaneet aikaikkunan sulkeutumiseen varojen palauttamista ajatellen.
Perusteet:
1) Asiakas kiistää syyllistyneensä törkeään huolimattomuuteen. Asiakas ei luovuttanut tietojaan holtittomasti. Hän toimi ohjeiden mukaan ja hyvässä uskossa, koska kaikki näytti täysin luotettavalta, eikä huijausta voinut kohtuudella havaita. Petos oli huolellisesti rakennettu siten, että se jäljitteli täydellisesti pankin ja Vinted-alustan (ja muiden vastaavien alustojen) toimintatapoja ja perustui kiireeseen, harhaanjohtamiseen ja järjestelmien hyväksikäyttöön. Rikolliset onnistuivat luomaan vaikutelman täysin aidosta ja turvallisesta toiminnasta. Ensi kertaa palvelussa asioitaessa ei ole voitu tietää, että sähköpostiviestintää ei tällä alustalla normaalisti käytetä. Tunnistautuminen on alustalla aina pakollista rahaa vastaanotettaessa. Myös pankin viesti on helppo ymmärtää tähän tunnistautumiseen liittyväksi; ID Activation = henkilöllisyyden aktivointi. Pankin mukaan englanninkielisen varoitusviestin olisi pitänyt jo kielen takia herättää epäilyksiä, mutta ottaen huomioon, että asiointi tapahtui kansainvälisellä alustalla, jolla on ulkomaisia kumppaneita maksuliikenteen turvaamista varten, se ei ole kovin poikkeavaa.
2) Huijauksen ja rahansiirtojen välillä ei ole ollut mitään tapahtumaa, josta johtuen olisi ollut aihetta epäillä tunnusten joutumista vääriin käsiin. Toistuvat tilisiirrot on syötetty maksupäivää edeltävänä iltana/yöllä sellaiseen aikaan, ettei pankkiin ole ollut asiaa. Siirrot ovat toteutuneet aamuyöstä ja ne huomattiin heti varhain aamulla. Pankille on siis ilmoitettu tapahtuneesta ilman aiheetonta viivytystä.
3) Vaikka katsottaisiin, että asiakas on syyllistynyt törkeään huolimattomuuteen, pankki ei voi vapautua vastuustaan, kun se on
a) Laiminlyönyt valvontavelvoitteensa ja jättänyt epäilyttävät siirrot havaitsematta. Pankin olisi pitänyt tunnistaa epätavalliset suuret siirrot tuntemattomalle tilille humoristisilla vieraankielisillä viesteillä. Toisen pankin olisi pitänyt havaita nopeasti peräkkäin tapahtuvat siirrot uudelta lähettäjältä ja niiden lähes välitön siirto ulkomaille.Pankit lähettävät säännöllisesti ”tunne asiakkaasi” -kyselyitä, ja tämä tapahtuma poikkeaa täysin annetuista vastauksista. Pankkien olisi tullut pysäyttää nämä siirrot ja varmistaa niiden oikeutus ennen niiden toteuttamista. Petosta ei ole tunnistettu ilmeisistä merkeistä huolimatta, ja valvonta on epäonnistunut myös rahanpesun estämisen näkökulmasta.
b) Antanut virheellistä ja harhaanjohtavaa ohjeistusta. Pankilla on lakisääteinen velvollisuus toimia ammattimaisesti ja ohjeistaa asiakasta tilanteen kiireellisyyden mukaisesti. Tilanne vaati kiireellistä toimintaa ja poliisi oli ainoa taho, joka olisi voinut sulkea rahansiirtoihin käytettävät tilit ajoissa. Pankin asiakaspalvelun kanssa käydyssä keskustelussa todettiin, että rikosilmoituksella ei ole kiire. Asiakas sai virheellisen käsityksen, että pankki pystyy asiaa parhaiten ja nopeiten hoitamaan. Asiakas ei ole myöskään saanut pankilta selvitystä tapahtumista ja aikajanoista, vaikka pankeilla on velvollisuus toimia avoimesti ja läpinäkyvästi asiakassuhteissaan. Kaikissa keskusteluissa on vedottu pankkisalaisuuteen. Jos maksupalvelun käyttäjä on menettänyt oikeuden takaisinveloitukseen maksuvälineen oikeudettomasta käytöstä törkeän huolimattomuuden vuoksi maksupalveluntarjoajalla ei kuitenkaan ole oikeutta vedota tähän, jos maksupalveluntarjoaja on itse toiminut huolimattomasti. Molempien pankkien huolimattomuus johti suoraan siihen, että siirrot ulkomaille etenivät. Maksupalvelulain mukaan pankkien tulee reagoida nopeasti maksujen estämiseksi tai peruuttamiseksi, erityisesti petosepäilyissä. Poliisilta saatujen aikajanatietojen mukaan näin ei ole toimittu.
4) Pankki toteaa, että se käyttää erilaisia kontrolleja ja rajoituksia asiakkaita suojellakseen ja epäilyttävät tapahtumat pysäytetään manuaalista valvontaa varten. Näitä maksutapahtumia voidaan pitää erittäin epäilyttävinä. Pankki ei halua avata menetelmiään tarkemmin, mutta on selvää, että ne eivät toimi riittävällä tasolla petoksia tai rahanpesua ajatellen. Asiakashistorian valossa ei ole mitään sellaista, mikä puoltaisi väitettä, että asiakas olisi itsekin voinut tehdä tällaisia toimenpiteitä.
5) Pankki toteaa, että rikosilmoituksen kiireellisellä tekemisellä ja siihen neuvomisella ei ollut tässä tapauksessa merkitystä vahingon syntymisen kannalta. On kuitenkin yleisessä tiedossa ja myös poliisin vahvistamaa, että pankkien mahdollisuudet keskeyttää rahansiirrot seuraavissa vaiheissa ovat rajalliset pankkisalaisuudesta johtuen. Tähän tarvitaan poliisin mukaantulo prosessiin. Poliisi olisi pystynyt puuttumaan jatkosiirtoihin kotimaassa ja ulkomailla.
Pankin vastine
Pankki kiistää asiakkaan korvausvaatimuksen.
Pankin selvityksen perusteella asiakkaan reklamoimat tilisiirrot on hyväksytty vahvalla sähköisellä tunnistamisella. Pankin myöntämät pankkitunnukset ovat maksupalvelulain 8 §:ssä kohdassa 11 tarkoitettu maksuväline. Pankki viittaa maksupalvelulain 53, 54 ja 62 §:in sekä pankin sähköisen asioinnin ehtoihin.
Asiakkaan kertoman mukaan tapauksessa on ollut kyse Vinted-huijauksesta, jossa asiakas on ollut myymässä laukkua Vintedin kautta. Asiakas on tapauksessa saanut yhteydenoton potentiaaliselta ostajalta, jonka kanssa käydyn viestinvaihdon jälkeen on päädytty tuotteen lähetykseen. Asiakas on kertonut saaneensa huijarilta sähköpostin, joka on sisältänyt linkin. Asiakas on avannut linkin, joka on ohjannut hänet pankin verkkopankkia muistuttavalle sivulle. Asiakasta pyydettiin tunnistautumaan pankkitunnuksilla kyseiselle valesivustolle ja asiakas on kertonut syöttäneensä sivustolle pyydetyt tiedot. Pankkitunnusten syöttämisen jälkeen sivustolla pyydettiin vielä tekstiviestitse lähetettävä varmennuskoodi.
Pankin tekemän selvityksen perusteella asiakkaan puhelinnumeroon on lähetetty pankin tunnistussovelluksen aktivointikoodi sovelluksen lataamista varten 9.12.2024 kello 14.22. Tämän jälkeen kello 14.22 samaan puhelinnumeroon on lähetetty vahvistusviesti pankin tunnistussovelluksen onnistuneesta latauksesta.
Pankin lokitietojen perusteella näkee, että kaikki asiakkaan reklamoimat tilisiirrot on vahvistettu pankin tunnistussovelluksen avulla, joka on ollut ladattuna huijarin puhelimeen. Tiedoissa näkyy uusi "Google"-niminen Android -laite, joka otettu käyttöön 9.12.2024 kello 14.22. Tämän tunnistussovelluksen lataus kyseiselle laitteelle on tehty tekstiviestivahvistuksella, eli asiakkaalle tekstiviestitse saapuneella aktivointikoodilla, jonka asiakas on luovuttanut valesivustolle.
Uuden pankin tunnistussovelluksen käyttöönottoon huijari on tarvinnut asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnuksen, salasanan sekä tekstiviestitse lähetettävän aktivointikoodin. Asiakas on kertonut luovuttaneensa nuo tiedot Vinted -huijauksen yhteydessä. Huijari on saanut 9.12.2024 tietoonsa asiakkaan verkkopankkitunnukset sekä onnistuneesti ladannut tunnistussovelluksen omalle laitteelleen.
Pankin lokitiedoista selviää, että huijari on tehnyt reklamoidut tilisiirrot toistuvina maksuina jo 10.12.2024. Huijari on laittanut maksut veloittumaan niiden luomista seuraavana päivänä, jolloin kaikki maksut ovat veloittuneet asiakkaan tililtä aamuyöllä 11.12.2024 klo 4.15. Asiakas on ollut 11.12.2024 aamulla kahdeksan jälkeen yhteydessä pankin sulkupalveluun huomattuaan tapahtumat. Asiakas on soittanut pankin sulkupalveluun 11.12.2024 klo 8:34, jolloin asiakkaan verkkopankkitunnukset ja pankkikortit on suljettu.
Asiakkaan vastaanottamissa tekstiviesteissä on kerrottu, että koodi on pankin tunnistussovelluksen aktivointia varten sekä varoitettu antamasta tätä kenellekään. Asiakkaan on tullut luovuttaa pankin tunnistussovelluksen aktivointikoodi huijaussivustolle yhdessä verkkopankin käyttäjätunnuksen sekä salasanan kanssa, ja tämän vuoksi huijari on päässyt lataamaan sovelluksen omalle laitteelleen sekä tekemään asiakkaan reklamoimat tilisiirrot.
Asiakas on omassa vastineessaan esittänyt huomioita koskien pankin menettelyä ja asiakaspalvelua huijauksen jälkeen. Näiden huomioiden osalta pankki vastaa seuraavasti.
Pankki käyttää useita erilaisia kontrolleja, rajoituksia ja järjestelmiä suojellakseen asiakkaitaan petolliselta toiminnalta. Yksi kontrolleista pyrkii tunnistamaan petokseksi epäillyt tapahtumat ja pysäyttää ne manuaalista valvontaa varten. Mikään monitorointi ei kuitenkaan valitettavasti pysty estämään kaikkia huijauksia 100 %. Tämän tarkemmin pankki ei valitettavasti voi avata riskienhallinnallisia menetelmiään. Asiakkaan tapauksessa huijarilla on ollut tiedossaan asiakkaan verkkopankkitunnukset ja pankin tunnistussovellus tehdessään toistuvat maksut asiakkaan tililtä, joten pankin näkökulmasta huijari on tehnyt toimenpiteitä, joita asiakas voisi itsekin verkkopankissa tehdä.
Pankin tunnistussovelluksen aktivointiviestien osalta pankki katsoo olevan selvää, että asiakkaan vastaanottamassa englanninkielisissä viestissä varoitetaan antamasta koodia kenellekään. Toisessa viestissä pyydetään asiakasta ottamaan välittömästi yhteys pankkiin, mikäli hän ei ole itse ottanut tunnistussovellusta käyttöön. Pankki palvelee asiakkaita heidän valitsemallaan kielellä (suomi, ruotsi, englanti). Kun kyse on puhelimen sovelluksesta, jossa asiakas itse pystyy puhelimessaan kielen määrittämään, lähtee sovelluksesta myös viesti sillä kielellä mikä sovellukseen on valittu. Tähän pankki ei valitettavasti pysty vaikuttamaan. Mikäli siis asiakas vastaanottaa pankilta viestin eri kielellä kuin mistä on pankin kanssa sopinut, on erittäin tärkeää keskeyttää asiointi ja varmistaa viestin sisältö sekä aiheellisuus. Etenkin silloin, jos viestin sisältö ei ole ymmärrettävissä. Tässä tapauksessa huijarin laitteen kieli on ollut englanti, joten pankin tunnistussovelluksen aktivointiin liittyvät tekstiviestit on lähetetty asiakkaan puhelinnumeroon englanninkielisinä.
Asiakkaan mukaan tilisiirrot oli tehty toistuvaismaksuina, jotka eivät näy mobiilipankissa. Kun huijarilla on ollut tiedossaan sekä asiakkaan verkkopankkitunnukset että pankin tunnistussovellus omalla laitteellaan, huijari on voinut tehdä toimeksiannon toistuvista maksuista asiakkaan tililtä haluamillaan asetuksilla (eräpäivä, summa, toistuvuus, saajan tilinumero). Toistuvat maksut ovat nähtävissä myös asiakkaiden mobiilipankissa, kohdassa Maksut -> Toistuvat maksut -> Tee ja muuta toistuvia maksuja. Toistuva maksu näkyy mobiilipankissa myös siten, että mobiilipankin etusivulta valitsee haluamansa tilin ja menee katsomaan tilitapahtumia. Toistuva maksu näkyy tilitapahtumien yläreunassa kohdassa "Erääntyvät". "Erääntyvät" sanan perässä lukee seuraavaksi erääntyvien maksujen yhteissumma ilman sen erillistä avaamista.
Asiakas mainitsee vastineessaan saaneensa pankin asiakaspalvelusta ohjeistuksen, jonka mukaan rikosilmoituksen teolla ei olisi ollut kiire ja että tärkeintä olisi ollut asiakkaan ilmoitus pankkiin. Asiakas mainitsee myös poliisin kertoneen, että asiakkaan tapauksessa poliisilaitokselle olisi täytynyt mennä paikan päälle mahdollisimman nopeasti. Pankin näkemyksen mukaan on ehdottoman tärkeää, että asiakas on pankkiin yhteydessä mahdollisimman nopeasti huomattuaan pankkitunnustensa päätyneen vääriin käsiin. Tässä tapauksessa asiakas on luovuttanut pankkitunnuksensa huijarin tietoon jo 9.12.2024 iltapäivällä, reklamoidut tilisiirrot ovat veloittuneet 11.12.2024 klo 04.15 ja asiakkaan yhteydenotto pankkiin on tullut 11.12.2024 klo 08.34. Pankin ohjeistus on, että rikosilmoitus ohjeistetaan tekemään, ja näin on tehty, mutta asialla ei tässä tapauksessa ole merkitystä vahingon syntymisen kannalta. Pankilla ei ole sen tarkempaa tietoa poliisin kannasta siihen, tulisiko rikosilmoitus tehdä paikan päällä vai sähköisesti.
Asiakas kirjoittaa olevan käsittämätöntä, että käyttötililtä voidaan tehdä useita valtavia ja tilin normaalista maksuliikenteestä poikkeavia siirtoja, ja että pankin väärä neuvonta ja toiminnan hitaus johti aikaikkunan sulkeutumiseen varojen palauttamista ajatellen. Pankin näkökulmasta toistuvat maksut ovat tehty asiakkaan henkilökohtaisilla verkkopankkitunnuksilla ja vahvistettu asianmukaisesti pankin tunnistussovelluksen avulla. Jos asiakas olisi heti tunnusten luovuttamisen ja vieraskielisten tekstiviestien vastaanottamisen jälkeen ollut yhteydessä pankkiin, taloudellinen vahinko olisi ollut estettävissä toistuvien maksujen poistamisella etukäteen ja pankkitunnusten sulkemisella.
Pankin sivuilla kerrotaan laajasti turvallisesta pankkiasioinnista ja siitä, miten asiakas voi suojautua erilaisilta huijauksilta. Erilaisten huijausten estämiseksi pankki on myös varoittanut asiakkaitaan verkko- ja mobiilipankissa erilaisista tietojenkalastelu- ja huijausviesteistä.
Pankki on arvioinut asiakkaan menettelyä tilanteessa ja katsoo, että asiakkaan menettely kokonaisuutena arvioiden osoittaa maksupalvelulaissa tarkoitettua törkeää huolimattomuutta, ja asiakkaan siten vastaavan täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Kuvakaappauksia asiakkaan messenger-viestinnästä ja vinted-valesivuilta
- Kuvakaappaus asiakkaan vastaanottamasta sähköpostista
- Kuvakaappaus pankin asiakkaalle lähettämistä tekstiviesteistä
- Rikosilmoitus
- Tiliote
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin sekä kortti- ja sähköisen asioinnin ehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin sähköisen asioinnin ehtojen kohdan 2.1 (Sähköinen tunnistaminen ja sähköinen allekirjoitus) mukaan
Tunniste on luonnollisen henkilön sähköisen tunnistamisen ja sähköisen allekirjoittamisen väline.
Ehtojen kohdan 2.3 (Tunnisteen säilyttäminen ja katoamisvastuu) mukaan
Tunnisteet ovat henkilökohtaiset, eikä niitä saa luovuttaa kolmannelle tai toisten henkilöiden, sovellusten tai palveluiden käyttöön. Asiakas ja käyttäjä sitoutuvat säilyttämään Pankin hyväksymät tunnisteet niiden käyttöohjeiden mukaan huolellisesti ja siten, ettei sivullisen ole mahdollista saada niitä tietoonsa tai käyttää niitä. Asiakas vastaa hallussaan olevien tunnistetietojen huolellisesta säilyttämisestä siten, että ne eivät joudu sivullisen tietoon. Pankki ei koskaan pyydä pankkitunnusten tietoja sähköpostilla tai muutoin, kun pankki ottaa asiakkaaseen tai käyttäjään yhteyttä.
Tunnistetietoja ei koskaan saa antaa sähköpostilla tai puhelimella niitä kysyvälle, ei edes Pankille.
Asian arviointi
Tapahtumienkulku
Asiassa on riidatonta, että asiakkaan ollessa myymässä laukkuaan Vinted-alustalla hän on saanut yhteydenoton ostajaksi tekeytyneeltä rikolliselta. Asiakas on pyynnöstä ilmoittanut sähköpostiosoitteensa, johon hän on tämän jälkeen saanut rikollisten Vintedin nimissä lähettämän sähköpostin. Viestissä olleen linkin kautta asiakas on päätynyt rikollisten luomille valesivuille ja syöttänyt sivuille pankkitunnustietojaan. Rikollinen on syöttänyt valesivujen kautta saamiaan pankkitunnustietoja omalle laitteelleen lataamaansa pankin tunnistussovellukseen. Pankki on tämän johdosta lähettänyt asiakkaalle tekstiviestitse tunnistussovelluksensa aktivointikoodin, jonka asiakas on syöttänyt valesivustolle. Aktivointikoodin saatuaan rikollinen on voinut aktivoida em. tunnistussovelluksen, jolla ko. riidanalaiset tilisiirrot on vahvistettu.
Asiakkaan menettelyn arviointi
Pankkitunnusehtojen mukaan tunnistetietoja ei saa koskaan antaa sähköpostilla tai puhelimella niitä kysyvälle, ei edes pankille.
Asiakas on käyttänyt pankkitunnuksiaan Vintedin nimissä lähetetyssä sähköpostissa olleen linkin kautta avautuneilla valesivuilla tunnistautumistarkoituksessa ja on vedonnut asiassa mm. siihen, että prosessissa ei mikään poikennut muiden alustojen vastaavista toimintamalleista ja hän tulkitsi, että pankin viestit koodeineen liittyivät tunnistautumiseen ja tilin liittämiseen palveluun.
Pankkilautakunta kiinnittää huomiota siihen, että asiakkaan toimittaman kuvakaappauksen perusteella asiakkaan puhelimessa rikollisten lähettämä sähköposti näyttää lähettäjätiedon mukaan tulleen Vintediltä, jonka palvelun kautta asiakas on juuri ollut asioimassa ostajaehdokkaan kanssa. Pankkilautakunta katsoo, ettei asiakkaan voida tässä asiayhteydessä edellyttää ymmärtäneen sähköpostin muotoilun tai sisällön perusteella, ettei sähköposti ollut Vintedin lähettämä. Lautakunnalla ei ole myöskään syytä epäillä, etteivätkö linkin kautta avautuneet valesivut ja niistä edelleen avautuneet tunnistautumista koskeneet valesivut olisi näyttäneet aitoja vastaavilta. Kokonaisselvityksen perusteella lautakunta katsoo, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä Vintedin nimissä sähköpostin muodossa tulleen yhteydenoton ja sitä seurannutta valesivuilla tapahtuneen ja asiakkaan käsityksen mukaan kaupanteon edellyttämän tunnistautumistilanteen asianmukaisuutta.
Pankkilautakunta kiinnittää tässä huomiota siihen, että nykyään monien verkossa toimivien palvelujen käyttö edellyttää tunnistautumista. Moninaiset toimijat myös lähettävät asiakkailleen heidän asiointiaan koskevia sähköposteja, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa hänelle palveluntarjoajan nimissä tulevan sähköpostin ja siinä olevan linkin asianmukaisuutta.
Ottaen lisäksi huomioon, että asiakas on verkkosivujen näkymän perusteella luullut käyttävänsä tunnuksiaan tavanomaisella pankkitunnusehtojen mukaisella tavalla tunnistautumistarkoituksessa eikä pankin ehdoissakaan nimenomaisesti kielletä tunnusten käyttämistä sähköpostitse tai muutoin sähköisesti lähetetyn linkin kautta avautuneilla sivuilla, Pankkilautakunta katsoo, ettei asiakkaan voida katsoa huolimattomuudestaan laiminlyöneen ehtojen mukaisia velvollisuuksiaan syöttäessään käyttäjätunnustaan ja salasanaansa valesivuilla tunnistautumistarkoituksessa.
Pankkilautakunta kuitenkin katsoo, että asiakkaan syötettyä hänelle sähköpostiin lähetetyn linkin kautta avautuneille sivuille pankkitunnuksiaan olisi hänen asiointinsa seuraavissa vaiheessa tullut kiinnittää erityistä huomiota siihen, mitä pankki hänelle viestii. Saatuaan tavanomaisesta pankkitunnuksilla tehtävästä tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen englanninkielisen tekstiviestin asiakkaan olisikin tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi syöttämättä hänelle lähetyssä sähköpostissa olleesta linkistä avautuneelle verkkosivustolle.
Pankin em. tekstiviestissä on mainittu, että kysymyksessä on aktivointikoodi, jota pankki ei koskaan kysy, mutta huijari kysyy. Lautakunta katsoo, että viestissä on kerrottu asianmukaisesti, mihin aktivointikoodia käytetään, mihin se ainoastaan tulee syöttää ja varoitettu myös huijauksista. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi viestissä olleen kehotuksen mukaisesti ottanut itse yhteyttä pankkiinsa taikka sulkupalveluun tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Asiakkaan syötettyä aktivointikoodin valesivustolle pankki on lähettänyt asiakkaalle toisen tekstiviestin tunnistussovelluksen aktivoinnista. Viestissä on muun ohella kehotettu ottamaan välittömästi yhteyttä pankin asiakaspalveluun, jos ei ole itse yrittänyt aktivoida pankin tunnistussovellusta. Mikäli asiakas olisi ohjeen mukaisesti ottanut yhteyttä pankkiinsa viimeistään tuossa vaiheessa ja tiedustellut menettelyn asianmukaisuutta, olisi asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Aiemman ratkaisukäytäntönsä mukaisesti Pankkilautakunta katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Vastaavanlaisia tapauksia koskevan ratkaisukäytännön ja tässä tapauksessa saadun selvityksen perusteella Pankkilautakunta katsoo, että asiakkaan syötettyä hänelle sähköpostiin lähetetyn linkin kautta avautuneille sivuille pankkitunnusten syöttämisen jälkeen vielä pankin tekstiviestitse lähettämän koodin on asiakkaan menettelyn tekstiviestin sisältö huomioiden ja sovelluksen käyttöönotosta kertoneen tekstiviestin sisältö huomioiden katsottava kokonaisuutena poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Asiakas vastaa siten asiakkaan ja pankin välisessä suhteessa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.
Pankin menettely
Asiakas on tapauksessa vedonnut myös siihen, että pankki olisi laiminlyönyt valvontavelvoitteensa jättäessään poikkeukselliset siirrot havaitsematta ja pysäyttämättä.
Pankkilautakunta toteaa, että maksupalvelusääntelyn perusteella pankeilla on oltava käytössään maksutapahtumien valvontamekanismit, joiden avulla ne voivat havaita oikeudettomat ja petolliset maksutapahtumat. Tällä velvollisuudella ei kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta. Pankkilautakunta katsoo, että pankki ei siten ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa sillä perusteella, että pankki ei ole estänyt ko. oikeudettomia maksuja.
Asiakas on vedonnut myös siihen, että pankki olisi antanut hänelle virheellistä ja harhaanjohtavaa ohjeistusta, ja pankin huolimattomuus osaltaan johti siihen, että siirrot ulkomaille etenivät. Lautakunta katsoo, ettei asiassa saadun selvityksen perusteella pankin voida katsoa antaneen asiakkaalle virheellistä neuvonta tai että asiakkaan pankilta saamilla ohjeilla olisi ollut vaikutusta asiassa aiheutuneen vahingon määrään.
Lopputulos
Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Atrila
Piilo
Punakivi
Tervonen