Haku

FINE-72843-D4F5P4

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-72843-D4F5P4 (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 28.08.2025

Miten vastuu asiakkaan kortin tiedoilla verkossa tehdyistä ja pankin tunnistussovelluksella vahvistetuista maksuista jakautuu asiakkaan ja pankin välillä? Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas A on vastaanottanut 24.7.2023 klo 11.03 pankin nimissä lähetetyn tekstiviestin:
"[pankki]: verkkopankki ja pankkikorttisi on jäädytetty epätavallisen toiminnan vuoksi. Palauta käyttöoikeus noudattamalla ohjeita: https://[pankki]-fi-maksut.com."
A on syöttänyt viestissä olleen linkin kautta avautuneille rikollisten luomille pankin sivuilta näyttäneille valesivuille pankkitunnuksiaan.

Pankki on lähettänyt A:lle 24.7.2023 klo 12.33 tekstiviestin:
" Read carefully! Your user ID is being used now to enable a new [pankin tunnistusväline] on a phone named puhelin. To prevent fraud, continue only if you yourself have downloaded [pankki]'s mobile app and are now enabling a new [pankin tunnistusväline]. To confirm enabling on your phone, enter code 03705 only on [pankki]'s mobile app. Don't enter or give this code anywhere else, as that puts your personal information at risk. If you suspect a scam, call [pankki] Deactivation Service now. [pankki]".

Rikolliset ovat valesivujen kautta saamillaan tiedoilla ladanneet ja aktivoineet omalle laitteelleen A:n nimissä olevan pankin mobiilisovelluksen ja tunnistusvälineen.

Em. sovellusta käyttäen on klo 12.45-12.52 välisenä aikana asiakkaan tilien välillä tehty kaksi siirtoa, A:n kortin debit-puolelta on vahvistettu kolme korttimaksua yhteisarvoltaan 36.500 euroa ja A:n luottokortilta on vahvistettu 1.258 euron maksu. Klo 12.59 A:n nimissä on haettu 15.000 euron täsmäluotto ja klo 13.00 A:n tililtä on tehty 96 euron tilisiirto ulkopuoliselle.

Rikolliset ovat hakeneet asiakkaan operaattorilta eSIM-kortin, jonka käyttöönoton seurauksena A:n pankin korttiturvallisuusnumeroon klo 12.53 tekemä soitto on katkennut klo 12.59 A:n SIM-kortin lakattua toimimasta.

A on soittanut klo 13.06 uudestaan korttiturvallisuusnumeroon puolisonsa B:n puhelimella ja A:n verkkopankkitunnukset suljettiin tämän puhelun aikana klo 13.13.

Pankki on korvannut 24.7.2023 klo 13.00 tehdyn tilisiirron 96 euroa viivästyskorkoineen 14.11.2024 sen johdosta, että A oli ilmoittanut/pyrkinyt ilmoittamaan väärinkäytöstä ja maksuvälineidensä päätymisestä ulkopuoliselle ennen tätä maksutapahtumaa. Lisäksi pankki on korvannut asiakkaalle klo 12:59 nostetun Täsmäluoton korot ja kulut.

Asiakkaan valitus

A ja hänen puolisonsa B vaativat, että pankki korvaa petoksella heille aiheutetut vahingot:
1. Visa-kortilla tehdyt debit-veloitukset 8.300 euroa, 9.300 euroa, 9.400 euroa ja 9.500 euroa (yhteensä 36.500 euroa);
2. Visa-kortilla tehdystä credit-tapahtumasta, 1.258 euron luoton siirto tilille, aiheutuneet luottokustannukset 36,60 euroa;
3. korkolain 3 §:n 2 momentin mukaista tuottokorkoa edellä mainituille summille 24.7.2023 lukien.

ASIAN TAUSTA

A on 24.7.2023 klo 11.03 saanut puhelimeensa tekstiviestin numerosta +353xxxxxxxxx ja kokenut asian kiireelliseksi ja pyrkinyt heti selvittämään asiaa lähtemällä klo 11.10 pankin konttoriin. Konttori oli kuitenkin suljettu, mikä selvisi konttorin edustalla. A olisi halunnut hoitaa asian sähköisen asioinnin sijaan konttorissa. Konttorikäynti on yleisemminkin hänen ikäluokalleen (yli 70 v.) matalamman kynnyksen tapa asioida. Kun asiaa ei saanut selvitettyä konttorissa, A hätääntyi ja ajatteli joutuvansa itse selvittämään asiaa tekstiviestin linkin kautta saaduilla ohjeilla. A ei paineiseksi kokemassaan tilanteessa muita ratkaisuja.

Tekstiviestin linkki ohjasi ulkoasultaan uskottavalle sivustolle eikä A missään vaiheessa petospäivänä osannut epäillä tekstiviestin aitoutta. Mikäli A:lla olisi ollut edes aavistus siitä, että tekstiviesti on huijaus, ei hän missään nimessä olisi siinä olevaa linkkiä avannut. A on noin klo 11.43 syöttänyt pankkitunnuksensa sivustolle, koska luuli sivuston olevan aito pankin sivusto. Lisäksi A on klo 11.44 lähettänyt tekstiviestin "[pankki]" numeroon.

Tämän jälkeen klo 12.33-13.10 pankin mobiilisovelluksessa ja verkkosivustolla tapahtuneet kirjautumiset, tapahtumat ja maksut ovat ulkopuolisen tahon tekemiä. Tekotapaan on kuulunut myös A:n puhelinliittymän kaappaus aktivoimalla operaattorin eSIM-kortti, minkä johdosta klo 12.54 jälkeen toimeenpantujen tilitapahtumien lisävahvistustekstiviestit on lähetetty ulkopuoliselle.

A soitti klo 12:53 pankin korttiturvallisuusnumeroon, jossa puhelu katkesi kesken SIM-kortin lakattua toimimasta liittymän siirryttyä ulkopuolisen laitteeseen johtuen liittymän kaappauksesta. Puhelun kesto on ollut 5:38 min välillä klo 12.53.38-12:59. Vielä klo 12:59 ulkopuolinen on toisella yrittämällä onnistunut ottamaan A:n nimissä 15.000 euron täsmäluoton ja klo 13:00 suorittanut SEPA-maksun 96 euroa.

A soitti klo 13.06 uudestaan korttiturvallisuusnumeroon vaimonsa puhelimella ja pankkitunnukset suljettiin puhelun aikana klo 13.13. Asiasta on tehty poliisille rikosilmoitus.

VAATIMUKSEN PERUSTEET

Korttitietojen päätyminen ulkopuoliselle

A kiistää itse aktiivisesti syöttäneensä korttitietojaan valesivustolle ja epäilee, että ulkopuolinen on saanut kortin käyttöönsä päästyään kirjautumaan A:n tunnuksilla pankin mobiilisovellukseen ja liittämällä kortin Google Pay -sovellukseen. Tapahtuma-ajankohtana on pankin mobiilipankissa ollut mahdollista liittää pankkikortti Google Pay -sovellukseen ilman varsinaisia pankkikortin tietoja eikä se ole vaatinut vahvistusta. Näin ollen ulkopuolisella on A:n tunnukset saatuaan ollut Google Payn kautta mahdollista käyttää A:n korttia verkkomaksuihin. Maksupalvelulain 72 §:n mukaan todistustaakka asiassa on pankilla, eikä pankki ole toistaiseksi osoittanut näyttöä, miten A:n korttitiedot ovat päätyneet ulkopuoliselle.

Vaikka korttitietojen syöttämistä A ei muistakaan, niiden syöttäminen A:n aidoksi uskomalle sivustolle ei täyttäisi törkeän huolimattomuuden kuvausta, sillä on järkeenkäypää, että sivusto olisi pyytänyt korttitietoja kortin jäädyttämisen selvittämiseksi ja niiden syöttäminen on yhtä ymmärrettävää kuin kirjautumisyritykset pankkitunnuksilla.

Pankin vahvistusviestin koodi ja viestin kieliversiosta

A kiistää itse aktiivisesti syöttäneensä klo 12.34 pankilta tulleen englanninkielisen tekstiviestin sisältämän koodin pankin mobiilisovellukseen. A on huomannut viestin vasta pankin sulkupalveluun soitettujen puheluiden jälkeen noin klo 14. Tämä huolimatta siitä, että viesti oli tullut samaan viestiketjuun pankin klo 12:44 lähettämän pankin verkkopalveluun kirjautumisen vahvistusviestin kanssa.

A:n Android-puhelimen oletusselaimessa on ollut päällä toiminto "tekstiviestivahvistuskoodit", joka on "sallinut oletusselaimen lisätä tekstiviestitse saadut vahvistuskoodit", ja on mahdollista, että viestin koodi on tämän päällä olleen toiminnon johdosta siirtynyt tekstiviestistä automaattisesti huijaussivustolle A:n virhepainalluksen seurauksena.

Pankki antaa sanavalinnoillaan ymmärtää, että A olisi tietoisesti mahdollistanut toiminnon puhelimessaan. Toiminnon olemassaolo ja päälläolo tuli A:lle kuitenkin tietoon vasta kuukausia myöhemmin läheisen sen löytäessä. Puhelimen ominaisuus ei ole yleisestikään pankkiasiakkailla tiedossa eikä pankki ole siitä koskaan varoittanut.

Englanninkielisestä vahvistusviestistä

Pankin tunnus- ja digisopimuksen kohdan 5.3 (Asiointikieli) mukaan "[v]oit käyttää asioidessasi [pankin] tarjonnan mukaan toimipaikasta, palvelukanavasta tai palvelusta riippuen suomen tai ruotsin kieltä. Jos haluat käyttää muuta kuin suomen tai ruotsin kieltä, vastaat tarvitsemasi tulkkauspalvelun hankkimisesta ja tulkkauspalvelusta aiheutuvista kustannuksista." Lisäksi ehdot kertovat kohdassa 3.4. (Asiointikieli): "[Pankin] ilmoitukset, informaatiopalvelut ja vahvistamista koskevat pyynnöt lähetetään vain suomen tai ruotsin kielellä, ellei Asiointipalvelusta muuta johdu." Vahvistusviestin ei siis kuulu olla englanninkielinen, vaikka ulkopuolinen olisi mobiiliavainta asentaessaan tällaisen valinnan tehnyt.

Pankki on menetellyt vastoin edellä mainittua sopimuskohtaa lähettäessään englanninkielisen viestin. Asiassa on myös huomioitava, että A:n asiointikieli pankissa on ollut koko asiakashistorian ajan suomi, minkä on täytynyt olla pankin tiedossa. A:n englannin kielen taito on heikko, minkä vuoksi pankin ehtojen vastaisella menettelyllä on ollut erityistä merkitystä vahvistusviestin noteeraamisen, ymmärrettävyyden ja informatiivisuuden kannalta A:lle. Viestin sisältö varmistui A:lle vasta myöhemmin vaimonsa ja Google-kääntäjän avustuksella.

A pitää viestin kieliversiota osoituksena pankin puutteellisena menettelynä väärinkäytösten estämisessä ja pankin tietoisesti ylläpitämänä sopimusrikkomuksena. Mikäli pankin sopimuksen mukaisen asiointikielen muuttuminen olisi aiheuttanut hälytyksen, olisi rikoksen tapahtuminen voitu ennaltaehkäistä. Viestin englanninkielisyys oleellisesti laskee kieltä osaamattoman asiakkaan mahdollisuutta tunnistaa viesti pankin lähettämäksi ja täten ymmärtää tekstiviestin sisällön selvittämisen välitön tarve ja koodin vahinkoliittämiseen liittyvä riski.

Asiointikielen vaihtumisen ja täysin A:lle poikkeuksellisen maksukäyttäytymisen olisi tullut ylittää pankin väärinkäytösten estämistä koskevien prosessien kynnyksen. Pankki ei vastoin velvoitteitaan tunne asiakastaan niin kuin pankkiasiakkuus vaatii ja laiminlyö velvoitettaan asiakkaan tuntemisesta.

Huolimattomuuden arviointi

Tekstiviestilinkin valinta

A:n tunnukset ovat päätyneet ulkopuoliselle uskottavan huijauksen seurauksena, minkä vuoksi A on ollut koko lyhyen tapahtumaketjun ajan siinä käsityksessä, että hän on noudattanut pankilta tullutta ohjeistusta ja asioinut pankin sivustolla. A on menetellyt vastoin pankkitunnusehtoja, kun on kirjautunut pankin nimissä lähetetyn huijausviestin linkistä avautuneelle valesivustolle.

Useat palveluntarjoajat käyttävät asiakasviestinnässään tekstiviestilinkkejä, niin myös pankki, joka on vielä tapahtumapäivänä klo 16.05 lähettänyt A:lle palautepyynnön linkin sisältävällä tekstiviestillä. Siitä huolimatta, että linkki ei ole suoraan vienyt verkkopalvelun kirjautumissivulle, on linkki vienyt pankin sivuille, joista verkkopalveluun kirjautumissivulle siirtyminen on edellyttänyt vain kahden jatkovalinnan tekemistä. Tämä ei ole pankilta johdonmukainen ja riittävän yksiselitteinen tapa toimia tekstiviestilinkkien suhteen ja erottautua rikollisten lähettämistä viesteistä. Pankin menettely on päinvastoin omiaan aiheuttamaan sekaantumista rikollisten lähettämiin viesteihin.

Linkin sivusto on erehdyttänyt A:n uskomaan, että hän asioi pankin sivuilla, eikä hän tässä yhteydessä ole havainnut valesivuston osoitekentän tiedoista kysymyksessä olevan huijaussivusto. FINEn ratkaisukäytännössä yksin tekstiviestilinkkien kautta huijaussivustoille kirjautumisen ja valesivuston osoitekentän tietojen tarkistamatta jättämisen ei ole katsottu täyttävän törkeän huolimattomuuden astetta.

Törkeän huolimattomuuden arvioinnin kannalta on FINEn ratkaisukäytännössä katsottu olevan merkityksellistä ensinnäkin sillä, mitä pankin asiakas on olettanut olevansa tekemässä valesivustoa käyttäessään, tähän liittyen toisekseen, mitä tietoja on huijaussivustolle syötetty ja viimeisenä, minkälainen on pankilta tullut vahvistusviesti ollut sisällöltään ja olisiko huolellisen asiakkaan viimeistään vahvistusviestin lukiessaan tullut keskeyttää toimintansa ja ottaa yhteyttä pankkiin.

A on saanut tekstiviestin kortin jäädyttämisestä epätavallisen toiminnan vuoksi sekä linkin käyttöoikeuden palauttamiseksi. A on ensin pyrkinyt asioimaan henkilökohtaisesti konttorilla, mutta koska konttori on ollut kiinni, on hän vasta tässä vaiheessa ryhtynyt selvittämään asiaa linkin kautta ja sen ohjeiden mukaisesti.

FINEn ratkaisukäytännön perusteella myöskään sen, että pankin asiakas on kirjoittanut valesivustolle tunnuksensa, salasanansa ja avainlukulistan koodin, ei vielä ole katsottu täyttäneen törkeän huolimattomuuden astetta, vaan viime kädessä ratkaisevaa on ollut asiakkaan reagointi pankin lähettämään vahvistusviestiin mobiilisovelluksen käyttöönottamiseksi uudella laitteella.

Vahvistusviestin koodin päätyminen ulkopuoliselle

A on havainnut pankin lähettämän vahvistusviestin vasta korttinsa ja tunnuksensa sulkemisen jälkeen. A:n puhelimessa (Honor 8) on ollut päällä Google-asetuksissa toiminto "tekstiviestivahvistuskoodit", joka päällä ollessaan sallii "oletusselaimen lisätä tekstiviesteistä saadut vahvistuskoodit", ja jonka toimiessa tekstiviestitse tulevaa koodia ei itse kirjoiteta, vaan se siirtyy automaattisesti oletusselaimen valintakenttään. A:lla ei ole ollut tietoa tällaisen Google-asetuksen olemassaolosta, ja kyseinen asetus on voinut siirtää viestin koodin huijaussivustolle jo yhdelläkin puhelimen näytön virhekosketuksella ja sitä kautta ulkopuoliselle.

Kyseinen ominaisuus ei ole siinä määrin yleisessä tiedossa, että huolellisenkaan älypuhelimen keskivertokäyttäjän voitaisiin olettaa ottavan huomioon tällainen, ilmeisesti tehdasasetuksena päällä oleva ominaisuus, ja sen riskit tietoturvallisuudelle pankkiasioinnissa. Tällaisesta ominaisuudesta ei ole myöskään pankit yleisesti varoittaneet. Korkeimman oikeuden ratkaisun KKO 2018:71 mukaan "[k]orkeimman oikeuden ratkaisukäytännössä kynnys menettelyn katsomiseksi törkeäksi huolimattomuudeksi on ollut korkealla. Törkeänä huolimattomuutena on pidetty sellaista toimintaa, joka on ollut lähellä tahallista menettelyä ja siten häikäilemätöntä ja välinpitämätöntä seurausten suhteen (perustelut kohta 21)." Korkeimman oikeuden ratkaisukäytännön perusteella yllä kuvattua puhelimen asetuksen huomioimatta jättämistä ei voida pitää törkeänä huolimattomuutena.

Myös haittaohjelma on mahdollinen selitys sille, miten koodi on voinut päätyä rikollisille. Esimerkiksi 18.4.2024 uutisoitiin laajasti mediassa verkkopetosvyyhdistä, jossa rikolliset ovat käyttäneet LabHost-alustaa pankkipetoksiin. Pankki ei vastineessaan kiistä, etteikö koodi olisi voinut siirtyä huijaussivustolle automaattisen tekstiviestikoodin syötön toiminnolla tai haittaohjelmalla. Näin voidaan katsoa pankin itsekin todenneen em. tapahtumakulut täysin mahdollisiksi.

Asiakkaan pyrkimys estää väärinkäytökset

Asiakas on pyrkinyt selvittämään pankin lähettämäksi erehdyksessä uskomaansa viestiä välittömästi viestin saatuaan henkilökohtaisesti pankin toimipisteellä siinä onnistumatta, koska toimipiste oli kiinni maanantaisin. Tämän jälkeen tapahtumat ovat edenneet hyvin nopeasti. Ulkopuolisen ensimmäisestä kirjautumisesta pankin mobiilisovelluksen ja viimeiseen SEPA-maksuun on kulunut noin 25 minuuttia. A on kaiken kaikkiaan noin kahden tunnin aikana huijaustekstiviestistä (klo 11:03) hänen tunnustensa sulkemiseen klo 13:13 asti pyrkinyt selvittämään asiaa aktiivisesti.

Pankin vastine

Tapaukseen liittyvät yksityiskohdat ja kokonaisarviointi huomioon ottaen pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti eikä pankki siten ole asiassa korvausvelvollinen.

Selvitys tapahtuneesta

Asiakas on kertonut 24.7.2023 klo 11:03 vastaanottaneensa tekstiviestin ulkomaalaisesta puhelinnumerosta +353 87 xxx xxxx ja avanneensa linkin sekä toimineensa sivuston ohjeiden mukaisesti. Asiakas on kertonut syöttäneensä auenneelle sivustolle pankin tunnuksensa.

Pankin selvityksen mukaan A on saanut pankilta pankin tunnistussovelluksen aktivointikoodin sisältävän tekstiviestin 24.07.2023 klo 12.33. Tämän jälkeen on uudella mobiiliavaimella kirjauduttu pankin mobiiliin 12:35. Sen jälkeen on kortin turvarajat muutettu 12.43, [pankki].fi:hin on kirjauduttu avainlukulistalla 12.44 ja tästä lähetetty seuraava viesti:
"Olet kirjautumassa tunnuksillasi [pankin] verkkopalveluun. Vahvista kirjautuminen avainlukulistan 82. avainluvulla. [pankki]"
Klo 12.45 on tehty omien tilien välinen siirto ja sen jälkeen on klo 12.45-12.49 tehty neljä verkkomaksua asiakkaan kortin debit-puolelta saajalle Revolut, yhteensä 36.500 euron arvosta. Klo 12.50 on tehty vielä toinen oma siirto ennen kuin kortti on lukittu monitoroituna 12.51 (pysyvästi 14.59 ja rinnakkaiskortti 13.59). Uudella mobiiliavaimella on kirjauduttu pankin mobiiliin klo 12.51 ja klo 12.52 on tehty kortin credit-puolelta verkkomaksu Revolut 1.258 euroa. A on soittanut pankin asiakaspalveluun 12.52 ja 12.55. Toinen puhelu on katkennut A:n mukaan koska SIM-kortti siirtyi ulkopuoliseen laitteeseen kesken puhelun. Pankilta on 12.55 lähetetty vahvistusviesti vakuudettomasta luotosta, jota ei kuitenkaan ole vahvistettu. Sen jälkeen on tehty hakemus 15.000 euron Täsmäluotosta joka on vahvistettu ja seuraava viesti on lähetetty klo 12.59:
"You are making a Special Consumer Credit agreement for 15 000 €. Confirm the agreement by entering the code 7047 in your mobile app. [pankki]".
Tämän jälkeen on klo 13.00 tehty vielä SEPA-maksu 96 euroa, josta lähtenyt vahvistusviesti:
"You're paying 96.00 EUR in our service into account IE90PFSRxxxxxxxxxxxxxx. Check the data and confirm in your app by typing code 0583. [pankki]”
Klo 13.08 pankin asiakaspalvelu on kirjannut asiakkaan puhelun ja onnistuneen tunnistautumisen avainlukulistalla ja klo 13.13 pankin tunnukset on suljettu.

Ulkopuolinen on saanut tietoonsa A:n pankin digipalveluiden käyttäjätunnuksen, salasanan sekä vaihtuvan avainluvun, kun hän on syöttänyt tietoja tekstiviestitse saamansa linkin kautta. Näillä tiedoilla ulkopuolinen on pystynyt aloittamaan pankin mobiilisovelluksen ja tunnistusvälineen asennuksen omalle laitteelleen. Jotta asennus voidaan saattaa loppuun ja pankin mobiilisovellus sekä tunnistusväline voidaan ottaa käyttöön uudella laitteella, tulee tämä vahvistaa erillisellä koodilla, joka lähetetään tekstiviestinä asiakkaan omaan matkapuhelimeen.

Tässä tapauksessa A on saanut pankilta em. englanninkielisen tekstiviestin ja syöttänyt viestissä olleen koodin sivustolle, josta ulkopuolinen on saanut sen käyttöönsä ja pystynyt aktivoimaan uuden tunnistusvälineen. Näin ulkopuolinen on saanut käyttöönsä A:n tiedoilla olevan vahvan sähköisen tunnistusvälineen. Tämän avulla hän on pystynyt tekemään tilisiirron pankkitilien välillä, muuttamaan kortin turvarajoja sekä hyväksymään asiakkaan reklamoimat tapahtumat. A:n väitteen mukaan hänen laitteensa selain olisi automaattisesti poiminut aktivointikoodin asiakkaalle lähetetystä tekstiviestistä. Mikäli A on mahdollistanut omassa puhelimessaan tämän toiminnallisuuden, puhelin voi poimia tekstiviestissä olleen koodin laitteen näppäimistönäkymään, josta käyttäjän tulee tehdä erillinen valinta, jotta koodi täytetään selaimen kenttään. A:n väitteen mukaan hän on vahingossa tehnyt tämän valinnan eikä ole huomannut hänelle saapunutta tekstiviestiä vielä tuossa vaiheessa. Mikäli A on toiminut näin, olisi hänen huolellisesti toimiessaan tullut välittömästi tarkastaa viestin sisältö ja olla yhteydessä pankkiin sulkeakseen tunnukset. Pankin sulkupalvelu on auki vuorokauden ympäri ja Pankkipalvelut-numero palvelee arkipäivisin 8-16, riippumatta siitä milloin oman pankin konttori on auki.

A esittää, että englanninkielinen viesti olisi ollut jotenkin sopimusrikkomus, kuitenkaan vetoamatta minkälainen sopimusrikkomus olisi kyseessä. Vahvistusviestin kieli valikoituu sen mukaan millä kielellä taho, joka kirjautuu pankin palveluun, on palveluun kirjautunut. Tässä tapauksessa ulkopuolinen taho, joka oli ensin saanut A:lta tämän pankkitunnukset, oli kirjautunut pankin palveluun englanniksi. Siksi vahvistusviesti uudesta mobiiliavaimesta tuli A:lle englanniksi. Toisaalta A kertoo, että olisi kyseisen viestin vasta huomioinut klo 14 jälkeen (jolloin viestin kielellä ja sen ymmärtämisellä ei tulisi olla asiaan merkitystä), toisaalta A pohtii, että viestin englanninkielisyyden takia hän olisi sivuuttanut sen ei-pankkiasiointiin kuuluvana (eli olisi nähnyt sen tullessaan). Kyseinen englanninkielinen viesti on mennyt samaan viestiketjuun asiakkaan puhelimeen tulleeseen klo 12.44 viestin kanssa, jonka avulla A on itse kirjautunut [pankki].fi:hin avainlukulistalla. Nämä kaksi viestiä ovat siis tulleet samasta numerosta ja eri numerosta kuin klo 11.03 tullut huijausviesti.

Selvä on kuitenkin, että klo 12.33 viestissä ollut koodi on päätynyt ulkopuoliselle ja tämän avulla ulkopuolinen on saanut asennettua pankin tunnistusvälineen. Tunnistusvälineen ja asiakkaan aiemmin antamien tietojen avulla kortin väärinkäyttö on onnistunut.

Korttitapahtumien käyttäjällä on ollut tiedossaan kortin tiedot (koko korttinumero, voimassaoloaika sekä turvakoodi) sekä käytössään A:n tunnuksiin liitetty pankin tunnistusväline. A:n on täten täytynyt luovuttaa sekä korttitiedot että tunnistusvälineen aktivointikoodi ulkopuoliselle. Asiakkaan korttia ei ole provisioitu Google Payhin tai muuhun mobiilimaksamisen palveluun. Kortin provisiointi ei vaadi erikseen tunnistusvälineellä vahvistamista, mutta provisioinnista näkyisi tieto pankin vahvistustapahtumissa eli korttitapahtumat tehneellä taholla on tullut olla hallussaan myös asiakkaan kortin tiedot, jotka ovat saatavilla vain asiakkaan hallussa olleesta fyysistä kortista. Lisäksi Google Payn käyttöönotosta lähetetään asiakkaalle automaattisesti verkkoviesti.

Korttitietoja ei voi saada pankin digipalvelusta, eikä tunnistusvälinettä voi aktivoida ilman pankin asiakkaalle toimittamaa koodia. Koodin syöttämistä ei edes pankin toimihenkilö voi ohittaa. Asiakkaan on siis täytynyt luovuttaa sekä korttitiedot että tunnistusvälineen aktivointikoodi ulkopuoliselle.

Asian arviointi ja perustelut

A:n syötettyä pankin tunnukset ja korttinsa tiedot huijaussivustolle hän sai pankilta turvallisuussyistä viestin puhelinnumeroon, joka on ollut liitettynä digipalvelusopimuksessaan maksun lisävahvistukseen. Englanninkielisessä viestissä kehotettiin lukemaan viesti huolellisesti sekä syöttämään viestissä kerrottu koodi pankin mobiilisovellukseen vain siinä tapauksessa, että asiakas on itse asentamassa tunnistusvälinettä uudelle laitteelle. Lisäksi viestissä luki, että koodia ei saa syöttää eikä antaa minnekään muualle kuin pankin mobiilisovellukseen. Vaikka A ei ollut itse asentamassa tunnistusvälinettä uudelle laitteelle ja, vaikka koodin syöttäminen muualle kuin pankin mobiilisovellukseen oli viestissä kielletty, asiakkaan on täytynyt syöttää koodi saamansa linkin kautta auenneelle sivustalle. Mikäli A olisi toiminut viestin ohjeiden mukaisesti, ei ulkopuolinen olisi saanut asennettua omalle laitteelleen asiakkaan tiedoilla pankin tunnistusvälinettä, ja siten asiakkaan kortin väärinkäyttö olisi estynyt.

A on esittänyt väitteen, että hän on havainnut pankin lähettämän tekstiviestin vasta tunnusten sulkemisen jälkeen, ja että aktivointikoodi olisi päätynyt ulkopuolisen tietoon vahinkokosketuksen tai haittaohjelman vuoksi. Aktivointikoodi lähetetään asiakkaalle pitkän viestin loppuosassa, jotta koodi ei näy viestin esikatselussa/banner-ilmoituksessa. Pankin tiedossa ei ole tapauksia, joissa selain olisi osannut koodin poimia huijaussivustolle. Joka tapauksessa koodin päätyminen huijaussivustolle vaatii puhelimen käyttäjältä aktiivista toimintaa: käyttäjän tulee valita koodin kopioiminen selaimeen sekä vahvistaa koodin lähettäminen eteenpäin. Haittaohjelmasta ei ole esitetty näyttöä.

Koska pankin tunnukset, kortin tiedot ja tunnistusvälineen aktivointikoodi ovat päätyneet korttimaksun tehneelle taholle, toimintaa on kokonaisuutena arvioituna pidettävä törkeän huolimattomana. Huolimattomuuden astetta on pidettävä törkeänä erityisesti siitä syystä, että A on pankin tunnusten lisäksi syöttänyt huijaussivustolle korttitietonsa. Pankki ei koskaan kysy korttitietoja kirjautumisen yhteydessä. Lisäksi A on jättänyt huomiotta pankin lähettämän tekstiviestin sisällön, mutta kuitenkin lisännyt aktivointikoodin ja edennyt huijaussivustolla. Asiassa on jäänyt epäselväksi, miten koodi tosiasiassa on päätynyt huijaussivustolle, mutta ilman A:n aktiivisia toimenpiteitä koodi ei olisi ulkopuolisen tietoon mennyt.

Pankki on useaan kertaan varoittanut tällaisesta urkinnasta tiedotteissaan sen lisäksi, että asia on tuotu esille pankin tunnus- ja digisopimuksen tekemisen sekä ehtomuutosten yhteydessä Tärkeää tietoa tunnuksista -asiakirjalla. Pankki katsoo, että A on itsekin epäillyt huijaus-tekstiviestin aitoutta, koska hän on lähtenyt selvittämään asiaa pankin konttoriin. Asiakkaan olisi tullut pidättyä tietojensa syöttämisestä epäilyttävän linkin takaa avautuneelle sivustalle. Edellä mainituilla perusteilla pankki katsoo, että pankki ei ole miltään osin velvollinen korvaamaan aiheutunutta vahinkoa.

Pankin toimet asiakkaiden varoittamiseksi

Väärinkäytösten ehkäisemiseksi pankki on aktiivisesti varoittanut asiakkaitaan verkkopalvelutunnusten kalastelukampanjoista muun muassa [pankki].fi:n tiedotteilla 28.11.2022, 9.1.2023, 3.3.2023 ja 27.3.2023. Kaikki tiedotteet ovat edelleen luettavissa uutisarkistossa. Uusimmat tiedotteet näkyvät pankin etusivulla. Lisäksi pankki on sosiaalisessa mediassa (Facebook, Twitter/viesti-palvelu X) toistuvasti varoittanut asiakkaita huijaus- ja kalasteluviesteistä. Myös pankin mobiilisovelluksen kirjautumissivulla näytetään turvallisuustiedotteita liikkeellä olevista kalastelukampanjoista.

Pankki on ohjeistanut asiakkaitaan olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjautua sähköpostitse tulleen linkin kautta. Pankki on ohjeistanut lukemaan aina huolella vahvistuspyynnöt ja että tapahtumaa, jota ei tunnusta tehneensä ei tule vahvistaa. Pankki on kertonut myös, että huijausviestit saattavat olla samassa ketjussa aitojen pankin lähettämien viestien kanssa. Lisäksi pankki on ohjeistanut, että kirjauduttaessa verkkopankkiin, tulee kirjoittaa verkkopankin osoite selainriville itse tai käyttää tallennettua kirjanmerkkiä. Jos mahdollista, asiointiin on suositeltu käytettävän pankin mobiilisovellusta.

Sääntely

Pankki viittaa maksupalvelulain 38 §:n 1 momenttiin, 53 §:n 1 momenttiin, ja 62 §:n 1 momenttiin sekä tunnus ja digisopimusehtoihinsa. Asiakkaalle on tunnus- ja digisopimuksen tekemisen yhteydessä myös annettu Tärkeää tietoa [pankin] tunnuksistasi -niminen asiakirja.

Lopuksi

Pankki pahoittelee asian selvittämiseen liittyvää viestinnän epäselvyyttä reklamaatioprosessin aikana. Tapahtumia ja asiakkaan lukuisia tietopyyntöjä on selvitetty usean tahon puolesta eri aikoina, eikä tieto eri tahojen välillä ole valitettavasti aina kulkenut toivotulla tavalla. Viestintä A:n suuntaan on tämän takia valitettavasti kärsinyt.

Koskien A:lle korvattuja summia; taustalla oli virhe aikajanan tulkinnassa, mihin havahduttiin harmillisesti vasta myöhemmässä tarkastelussa. Tämän takia ne korvattiin yli vuoden viiveellä. 24.7.2023 klo 13.00 tehty tilisiirto 96 euroa viivästyskorkoineen korvattiin uudelleentarkastelun jälkeen 14.11.2024. Kyseinen maksu korvattiin, koska A oli ilmoittanut/pyrkinyt ilmoittamaan väärinkäytöstä ja maksuvälineidensä päätymisestä ulkopuoliselle ennen tätä maksutapahtumaa. A:lle on myös korvattu klo 12:59 nostetun Täsmäluoton korot ja kulut. Nyt reklamoitavat korttimaksut oli kuitenkin tehty ennen pankin asiakaspalveluun soitettuja puheluita. Pankki katsoo, että korvaushakemuksen kohteena oleva oikeudeton käyttö jää kokonaisuudessaan asiakkaan vastuulle.

Pankki lähettää asiakkaille markkinointi- ja palautekyselyviestejä, jotka saattavat sisältää linkin pankin sivustolle. Linkit on koodattu ns. content only, eli linkistä avautuvalla sivulla ei ole kirjautumismahdollisuutta. Huijareiden sivuilla puolestaan on pelkästään kirjautumismahdollisuus eikä muuta sisältöä.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- kuvakaappauksia asiakkaan vastaanottamista tekstiviesteistä.
- Telia-operaattorin tiedot liittymän lisäpalveluista (sim-kortin vaihdot)

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Lain 72 §:n 1 ja 3 momentin mukaan
Jos maksupalvelun käyttäjä kiistää antaneensa suostumuksensa maksutapahtuman toteuttamiseen, hänen palveluntarjoajansa on osoitettava, että suostumus on annettu sovitulla tavalla. Jos maksupalvelun käyttäjä väittää, että maksutapahtumaa ei ole toteutettu asianmukaisesti, palveluntarjoajan on osoitettava, että maksutapahtuma on kirjattu ja merkitty tileille oikein ja ettei maksutapahtuman käsittelyyn ole vaikuttanut tekninen vika tai muu häiriö.
[…]
Se seikka, että palveluntarjoaja voi näyttää, että suostumus maksutapahtuman toteuttamiseen on annettu maksuvälineellä, ei välttämättä yksin riitä osoittamaan, että maksuvälineen haltija on antanut suostumuksensa maksutapahtuman toteuttamiseen, toiminut petollisesti taikka laiminlyönyt tahallisesti tai törkeän huolimattomasti 53 ja 54 §:ssä säädettyjä velvollisuuksiaan.

Pankin tunnus- ja digisopimuksen ehtojen (Pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Tunnusten säilyttämistä ja sallitun käytön rajoitukset -kohdan mukaan
Sinulle luovutettu tunnus on henkilökohtainen. Tunnusta tai osaakaan siitä ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos annat tunnuksen kolmannelle, vastaat kolmannen nimissäsi tekemistä toimista.
Tunnuksilla ei saa tunnistautua palveluihin, joita tarjoaa tai jossa määräysvaltaa käyttää kansainvälisten pakotteiden kohteena oleva taho. Tunnuksia ei saa myöskään käyttää lain tai hyvän tavan vastaisiin tarkoituksiin taikka muuten [pankin] julkaisemien yhteiskuntavastuuvaatimusten vastaisella tavalla.
Tunnusta tai osaa niistä et koskaan saa:
- kertoa suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessasi [pankin] puhelinpalveluun näppäilet tunnuksen omaan puhelimeesi, samoin näppäilet tunnuksen puhelimeesi, jos haluat varmentaa sinulle tulevan puhelun olevan [pankin] soittama;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluilla ja sovelluksille.;
- antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella etkä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.
- Käyttäjätunnuksen ja salasanan sisältävä kalvo tai muu, jolla tunnuksen osat on luovutettu, on hävitettävä eikä käyttäjätunnusta tai salasanaa saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon. Jos Tunnukset on luovutettu sähköisesti, sinun tulee itse suojata tunnukset ja varmistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisille ja, että tiedot eivät jää ulkopuolisten saatavilla.
Sinun tulee säilyttää tunnustasi ja sen osia huolellisesti ja erillään toisistaan siten, ettei kenelläkään ulkopuolella, ei edes samaan perheeseen kuuluvalla tai niiden käyttöön oikeudettomalla yrityksen työntekijällä ole mahdollisuutta saada niitä tietoonsa. Tunnuksen osia ei saa säilyttää samassa säilytyspaikassa kotona, eikä esimerkiksi lompakossa tai käsilaukussa.
Sinun on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että Tunnus ja sen osat ovat tallessa.
Sinun tulee kirjautuessasi [pankin] digitaalisiin palveluihin suojata laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla tunnusta käytetään siten, ettei kenelläkään ole mahdollisuutta saada tunnusta tai sen osia tietoonsa.
[pankin] digitaalisia palveluita ei saa käyttää tietokoneella tai muulla laitteella, jossa on havaittu tai epäillään olevan haittaohjelma. Et saa myöskään luovuttaa tietokoneesi tai muun laitteesi etäkäyttöä ulkopuolisille, kun käytät laitteella tunnustasi tai sen osia.

Pankkitunnusehtojen Sinun tulee ilmoittaa tunnuksen katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan
Sinun on välittömästi ilmoitettava [pankille] tunnuksen tai sen osan katoamisesta tai joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka, jos epäilet niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun.
Voit tehdä ilmoituksen puhelimitse [pankin] osoitteessa [pankki].fi ilmoitettuun sulkupalvelun puhelinnumeroon (24h/7vrk). [Pankin] asiakaspalvelun aukioloaikana ilmoituksen voi tehdä myös puhelimitse [pankin] ilmoittamaan puhelinnumeroon tai asioimalla henkilökohtaisesti [pankin] toimipaikoissa.
Pankin hyväksymien muiden tunnistusvälineiden ja varmanteiden osalta ilmoitus katoamisesta tehdään tunnistusvälineen tai varmenteen käyttöehtojen mukaisesti.

Pankkitunnusehtojen Tunnusten käyttäminen -kohdan [pankin] digitaalisten palveluiden käyttö -alakohdan mukaan
Tunnistaudut esimerkiksi [pankin] digitaaliseen palveluun näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta eli eri kanavissa sinulta vaadittavat tiedot voivat vaihdella.
[…]
Kirjaudut [pankki].fi-palveluun kirjoittamalla osoitteen [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun olet velvollinen tarkistamaan, että [pankki].fi-verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [pankki] Ryhmään kuuluvalle yhtiölle (esim. […]. SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Sinä et saa antaa [pankin] digitaalisten palveluiden käyttöä Kolmannelle osapuolelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [pankin] digitaalisissa palveluissa. Edellä sanottu ei rajoita oikeuttasi käyttää maksupalvelulain mukaisia toimiluvan saaneita maksutoimeksiantopalveluja tai rekisteröityjä tilitietopalveluja.

Asian arviointi

Tapahtumienkulku

Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan pankin tunnistussovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankkinsa kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen käyttöönoton omalle puhelin-nimeämälleen laitteelle. Tämän johdosta pankki on lähettänyt 24.7.2023 klo 12.33 asiakkaalle tunnistussovelluksensa käyttöönoton edellyttämän vahvistuskoodin sisältäneen englanninkielisen tekstiviestin.

Myös em. koodin on täytynyt päätyä rikollisten tietoon. Asiakas on esittänyt haittaohjelman olevan mahdollinen selitys sille, miten koodi on voinut päätyä rikollisille. Asiakas ei kuitenkaan ole esittänyt selvitystä siitä, että hänen puhelimessaan olisi haittaohjelma taikka esittänyt näkemystään siitä, miten ja missä yhteydessä haittaohjelma hänen puhelimeensa olisi ladattu. Pankkilautakunta katsoo asiassa jääneen näyttämättä, että asiakkaan puhelimessa olisi ollut haittaohjelma.

Pankkilautakunta katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että asiakas on itse syöttänyt koodin em. valesivuille tai antanut puhelimessaan hyväksyntänsä tekstiviestitse tulleen koodin syöttämiselle valesivuilla.  Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin tunnistusvälineen ja mobiilisovelluksen omalle laitteelleen.

Asiassa saadun selvityksen perusteella rikollisilla on täytynyt olla tiedossaan myös asiakkaan korttitiedot ja lautakunta katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että asiakas on syöttänyt em. valesivuille myös korttitietonsa. Nyt kyseessä olevat oikeudettomat korttimaksut rikolliset ovat tehneet asiakkaan korttitietoja käyttäen ja em. pankin tunnistussovelluksella vahvistaen.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan tunnuksia ei saa koskaan antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella eikä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.

Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.

Pankkilautakunta kuitenkin katsoo, ettei asiakkaan voida edellyttää ymmärtäneen tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä ja ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä tekstiviestitse tulleen yhteydenoton asianmukaisuutta. Tässä lautakunta kiinnittää huomiota siihen, että asiassa saadun selvityksen perusteella pankki itse lähettää tekstiviestejä asiakkailleen siten, että ne voivat näkyä vastaanottojaan puhelimessa tulevan eri lähettäjiltä joko niin, että lähettäjätietona näkyy pankin nimi eri muodoissa tai ainoastaan lähettäjän matkapuhelinnumero kuten tässä tapauksessa rikollisten lähettämän tekstiviestin kohdalla.

Pankkilautakunta kiinnittää tässä huomiota myös siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin - ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat - lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.

Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi viestissä olleen kehotuksen mukaisesti ottanut itse yhteyttä sulkupalveluun taikka pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Tämä koskee myös tilanteita, joissa pankkitunnustenhaltijan puhelin tarjoaa avustustoimintoja tekstiviestitse tulleiden koodien eteenpäin syöttämiseen.

Edelleen lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään.

Pankkilautakunta katsoo, että pankin asiakkaalle lähettämässä em. tekstiviestissä kerrotaan asianmukaisesti mm., mitä tarkoitusta varten viestissä ollut koodi on ja mihin koodi tulee syöttää. Asiakkaan mukaan hän on huomannut viestin jälkikäteen mutta on toisaalta myös vedonnut englannin kielen taitonsa olevan niin heikko, ettei hän ole voinut viestin sisältöä ymmärtää.

Sovitusta ja tavanomaisesti käytetystä asiointikielestä poikkeavalla kielellä tulleiden viestien osalta Pankkilautakunta on ratkaisukäytännössään (kuten FINE-057082, annettu 6.6.2024) katsonut, että mikäli asiakas ei kielimuurin vuoksi ymmärrä tai voi olla varma, mihin esimerkiksi pankin tekstiviestitse toimittama koodi on tarkoitettu, tulisi hänen huolellisesti toimiessaan keskeyttää asiointinsa ja olla esimerkiksi yhteydessä pankkiinsa varmistuakseen menettelyn tarkoituksesta ja asianmukaisuudesta.

Pankkilautakunta katsoo tässäkin tapauksessa, että asiakkaan olisi vetoamastaan kielimuurista huolimatta ja myös kielimuurista johtuen tullut ymmärtää keskeyttää asiointinsa, koska hän ei ole voinut varmistua pankilta tekstiviestitse saamansa koodin käyttötarkoituksesta.

Asiakas on saadun selvityksen mukaan syöttänyt valesivustolle myös korttitietonsa. Pankkilautakunta katsoo, että asiakkaan olisi huolellisesti toimiessaan tullut myös tämän poikkeuksellisen pyynnön johdosta ymmärtää keskeyttää asiointinsa ja esimerkiksi olla yhteydessä pankkiin tiedustellakseen menettelyn asianmukaisuudesta.

Yhteenvetona Pankkilautakunta katsoo, että asiakkaan syötettyä linkin kautta avautuneille sivuille kortti- ja pankkitunnustensa lisäksi pankin tekstiviestitse lähettämän koodin lukematta tai ymmärtämättä tekstiviestin sisältöä, on asiakkaan menettelyn kokonaisuutena katsottava poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavaan täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Lopputulos

Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Atrila
Ketola
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä