Haku

FINE-72846-F7T8S9

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-72846-F7T8S9 (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 28.08.2025

Miten vastuu asiakkaan puhelimessa olevalla pankin tunnistussovelluksella vahvistetuista tiisiirroista jakautuu asiakkaan ja pankin välillä? Miten vastuunjakoon vaikuttaa se, että ennen ulkopuolisen henkilön tilille tehtyjä tilisiirtoja asiakkaan omien tilien välillä on tehty tilisiirto, jossa ei ole edellytetty vahvaa tunnistamista? Verkkourkinta. Maksajan suostumus maksutapahtumalle. Omien tilien välinen siirto.

Tapahtumatiedot

Asiakas on saanut 9.10.2024 puhelun henkilöltä, joka esitti olevansa pankkivalvonnasta. Soittaja kertoi, että asiakkaan verkkopankissa oli tehty Virossa suuri katevaraus, josta asiakas ei ollut tietoinen. Katevarauksen poistamiseksi soittaja pyysi asiakasta vahvistamaan poistot puhelimellaan ja asiakas teki pyydetysti. Lisäksi asiakas on saanut vieraskielisiä tekstiviestejä, joissa olevan koodin hän on kertonut soittajalle.

Pankin järjestelmän lokitietojen mukaan 9.10.2024 klo 18.07 asiakkaan omien tilien välillä on tehty 55.000 euron tilisiirto, jota ei ole hyväksytty vahvalla tunnistamisella. Tätä ennen kirjautuminen verkkopankkiin on tehty asiakkaan käyttäjätunnuksella ja hyväksytty asiakkaan puhelimessa olevalla pankin tunnistussovelluksella. Tunnistussovellus on asennettu 14.7.2021.

Asiakkaan verkkopankissa on luotu 20.000 euron tilisiirto, joka on vahvistettu asiakkaan tunnistussovelluksella klo 18.10, jolloin asiakkaalle on lähetetty maksun lisävahvistusta varten tekstiviesti. Maksu on vahvistettu tekstiviestissä olleella lisävahvistuskoodilla klo 18.11, jolloin maksu on suoritettu. Toinen 20.000 euron tilisiirto on luotu ja vahvistettu samalla tavalla klo 18.26–18.27. Molemmat tilisiirrot on tehty toiseen pankkiin saman pankkiryhmän sisällä.

Maksun vahvistamisen yhteydessä tunnistussovelluksessa on näkynyt seuraavat tiedot:

”Tapahtuma-ID
[tapahtuma-ID]

Varmista ennen vahvistamista, että tapahtuma-id on sama kuin se, joka näkyy maksun vahvistusnäkymässä

Yhteensä [euromäärä]

[tilinomistajan nimi]
[tilinumero]

Saaja         [saajan nimi]
Tilille          [saajan tilinumero]
Eräpäivä    [eräpäivä]
Summa      [euromäärä]

[Painikkeessa:] Vahvista 1 maksu”

Lisävahvistusta koskeva tekstiviesti on ollut seuraavanlainen:

”Viesti-ID [viesti-ID] Olet maksamassa yhtä tai useampaa maksua, mutta tämä vaatii turvallisuutesi vuoksi maksun lisävahvistamista. Jos et ole maksamassa itse, ota välittömästi yhteyttä [pankkiin] tai pankkitunnusten sulkupalveluun p. 020 333. Lisävahvistaminen onnistuu seuraavalla turvaluvulla [lisävahvistuskoodi]. [Pankki].”

Asiakkaan pankkitunnukset suljettiin noin klo 19.00 asiakkaan oltua yhteydessä sulkupalveluun.

Asiakkaalla oli tapaaminen pankin konttorilla seuraavana päivänä noin klo 10.30–11.30. Pankki on lähettänyt selvityspyynnön tilisiirroista pankin keskusluottolaitokseen klo 11.40. Selvityspyyntöön on vastattu klo 11.50 ja neuvottu olemaan yhteydessä suoraan samassa pankkiryhmässä olevaan maksun saajapankkiin. Kyseiseen pankkiin on lähetetty selvityspyyntö kello 12.45. Kyseinen pankki on vastannut klo 14.28 yrittäneensä tavoitella asiakasta ja että varat on nostettu käteisenä.

Asiakkaan valitus

Asiakas on valituksessaan kertonut saaneensa 9.10.2024 puhelinsoiton henkilöltä, joka kertoi soittavansa pankkivalvonnasta. Asiakkaalta tiedusteltiin pankkikortin tallella oloa, koska hänen verkkopankistaan oli tullut hälytys suuresta katevarauksesta Virossa. Asiakkaan kortti oli tallella. Soittaja kertoi peruuttamisen olevan helppoa eikä tarvinnut asiakkaan salasanoja ja että asiakas pystyisi vahvistamaan puhelimellaan poistot. Asiakas sai vieraskielisen tekstiviestin, jota hän ei ymmärtänyt. Soittaja kertoi, että tärkeimmät oli viestin lopussa eli numerot, jotka hän halusi kuulla.

On mahdollista, että asiakas on kertonut pankkitunnuksensa puhelun aikana. Asiakas oli erittäin hätääntynyt tapauksesta eikä muista kuinka monta kertaa puhelimellaan hän vahvisti, mutta varauksia oli useampi. Asiakkaan mukaan tilisiirtojen vahvistamisessa ei näkynyt saajaa ja summaa.

Puhelun jälkeen asiakas meni heti tietokoneellaan verkkopankkiinsa ja huomasi tilisiirrot, jolloin hän ymmärsi tulleensa huijatuksi. Asiakas soitti sulkupalveluun, josta suljettiin klo 19.00 asiakkaan pankkitunnukset ja maksukortti.

Seuraavana aamuna asiakas meni pankin konttoriin, jossa tehtiin haku tilisiirron paikantamiseksi ja tehtiin rikosilmoitus. Maanantaina 14.10.2024 hän sai pankista puhelun, jossa kerrottiin, että rahat oli siirretty pankkiryhmän toiseen pankkiin ja on nostettu käteisenä 400 euron erissä. Asiakas sai poliisilta 19.11.2024 varmistuksen, että rahat on nostettu 400 euron erissä 9.–10.10.2024.

Asiakas ihmettelee, miten pankin järjestelmät eivät ole mitenkään reagoineet siihen, että hänen tililtään on siirretty 40.000 euroa ja sen jälkeen tehty ainakin sata käteisnostoa. Tämä rahasiirto on tapahtunut saman pankkiryhmän sisällä ja tili on tullut tietoon pankille heti seuravana aamuna 10.10.2024.

Huijatuksi tulemisen jälkeen asiakas on välittömäsi sulkenut pankkitunnuksensa ja maksukorttinsa ja asioinut pankkinsa konttorissa heti kun mahdollista seuraavana aamuna. Pankki on toiminut hitaasti rahojen pysäyttämiseksi saatuaan tiedon huijauksesta.

Asiakas vaatii pankkia korvaamaan hänelle aiheutuneet menetykset.

Pankin vastine

Pankki on vastineessaan kertonut, että pankin tulkinnan mukaan tapauksessa näyttäisi olevan kysymys ns. kalasteluhuijauksesta, jossa uhrilta on tavalla tai toisella kalasteltu verkkopankkitunnusten käyttäjätunnus ja harhautettu uhri tämä jälkeen hyväksymään maksujen "peruutuksia" väittämällä, että asiakkaan tililtä/kortilta on jokin taho tekemässä perusteettomia maksuja ja toimimalla huijarin antamien ohjeiden mukaan maksut saadaan vielä pysäytettyä.

Pankin lokitietojen perusteella näyttää ilmeiseltä, että asiakas on joko syöttänyt verkkopankin käyttäjätunnuksen huijaussivustolle tai antanut sen huijarille puhelinkeskustelun yhteydessä. Pankki varoittaa asiakkaitaan säännöllisesti mm. verkkopankin kirjautumissivulla ja somekanavissaan tämän tyyppisistä huijauksista. Sopimusehtojen mukaan asiakas myös sitoutuu säilyttämään tunnuksia huolellisesti ja varmistamaan, etteivät ne joudu ulkopuolisten haltuun.

Verkkopankkiin ei kuitenkaan voi kirjautua pelkällä käyttäjätunnuksella. Kirjautuminen on vahvistettava pan­kin tunnistussovelluksella. Ainoa asiakkaan pankkitunnuksiin liitetty tunnistussovellus on ollut asennettuna asiakkaan omalle puhelimelle ja mikäli puhelin on ollut koko ajan asiakkaan hallussa, on hänen täytynyt vahvistaa kirjautuminen itse. Tunnistussovelluksessa näkyvästä vahvistusviestistä asiakkaan olisi tullut ymmärtää, että tapahtuman vahvistami­nen tarkoittaa verkkopankkiin kirjautumisen hyväksymistä. Asiakas ei itse ollut kirjautumassa verkkopankkiin.

Päästyään tällä tavoin kirjautumaan asiakkaan verkkopankkiin, huijari on tehnyt verkkopankissa asiakkaan omien tilien välisen 55.000 euron suuruisen siirron ja lisäksi kaksi tilisiirtoa kolmannen henkilön tilille. Kumpikin maksu on ollut 20.000 euron suuruinen. Kumpikin maksu on hyväksytty ensin asiakkaan puhelimessa olevalla tunnistussovelluksella. Asiakas on vedonnut siihen, ettei hänelle tunnistussovellukseen tulleissa vahvistuspyynnöissä olisi näkynyt kenelle, mille tilille ja minkä suuruisen maksun tämä on hyväksy­mässä. Nämä tiedot näkyvät aina tunnistussovelluksen vahvistuspyynnössä. Asiakkaan on siis tullut ymmär­tää, että vahvistuspyynnöt ovat koskeneet maksujen vahvistamista ja ettei hän ole teke­mässä niitä itse.

Tämän jälkeen kumpikin maksu on vaatinut vielä erikseen tekstiviestillä tulleen vahvistuskoodin. Nämä tekstiviestit ovat tulleet asiakkaan omaan puhelimeen, eikä huijari ole voinut saada vahvistuskoodia muuten kuin, että asiakas on sen hänelle puhelimessa antanut. Vahvistusviestistä asiakkaan olisi tullut ymmärtää, että joku toinen on tekemässä maksuja asiakkaan verkkopankissa ja viestin koodi liittyy näiden maksujen vahvistami­seen.

Asiakas on kertonut reklamaatiossaan, että hänelle tulleet vahvistusviestit olisivat olleet vieras­kielisiä. Tämä on mahdollista. Mikäli huijari on muuttanut verkkopankin kieliasetuksen sinne päästyään, ovat viestit voineet olla ruotsinkielisiä. Tunnistussovelluksen kieliasetus on kuitenkin verkkopankin kieliasetuksesta erilli­nen ja sen muuttaminen on mahdollista vain tunnistussovelluksessa. Tämän vuoksi vähintään tunnistussovelluksessa näkyneet viestit ovat olleet suomenkielisiä. Lisäksi asiakkaan olisi tullut keskeyttää asiointi, mikäli hän ei kielimuurin vuoksi ymmärrä tai voi olla varma, mihin pankin toimittama koodi on tarkoitettu, ja olla esi­merkiksi yhteydessä pankkiinsa varmistuakseen menettelyn tarkoituksesta ja asianmukaisuudesta. Näin ollen asiakas ei voi vedota siihen, että ei ole kielimuurin takia ymmärtänyt viestien sisältöä; eteenkin kun tunnistussovelluksessa näkynyt viesti on ollut suomenkielinen.

Edellä olevilla perusteilla pankki katsoo ensisijaisesti, että asiakas on antanut maksuille maksupalvelulaissa tarkoi­tetun suostumuksen, koska kirjautuminen ja maksut on vahvistettu ja hyväksytty asiakkaan halussa olleella tunnistussovelluksella, jossa on maksun vahvistamisen yhteydessä näkynyt olennaiset maksutiedot. Vaihtoehtoisesti pankki katsoo, että oikeudeton käyttö on johtunut siitä, että asiakas on laiminlyönyt sopimusehtoja sekä maksupalvelulaissa tarkoitettuja velvollisuuksia törkeää huolimattomuutta osoittavalla tavalla, eikä pankki näin ollen ole korvausvelvollinen aiheutuneesta vahingosta.

Asiakkaan omien tilien väliset siirrot verkkopankissa

Huijari on tehnyt asiakkaan verkkopankissa 55.000 euron suuruisen tilisiirron asiakkaan talletustililtä asiak­kaan käyttelytilille. Asiakkaan ollessa vahvasti tunnistautuneena verkkopankissa tai mobiilissa asiakkaan omien tilien väliset siirrot eivät vaadi erillistä tunnistussovelluksella tehtävää vahvistamista. Vahvistaminen tarvitaan vasta verkkopankista uloslähteviin maksuihin. Viitaten FINEn 29.1.2025 antamaan ratkaisuun FINE-075040 pankki katsoo, ettei tämä tapaus ole identtinen em. ratkaisussa tarkoitetun tilanteen kanssa.

Komission delegoidun asetuksen (EU) 2018/389 III luvussa luetellaan asiakkaan vahvaa tunnistamista koske­van periaatteen poikkeuksista. Em. asetuksen III luvun 15 artiklan, joka koskee saman luonnollisen henkilön hallussa olevien tilien välisiä tilisiirtoja, mukaan on sallittavaa, että maksupalveluntarjoajat eivät sovella asiak­kaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luon­nollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.

Ratkaisussa FINE-075040 verkkopankin sisäinen siirto on tapahtunut toisen henkilön tililtä käyttöoikeutetun tilille ja sieltä edelleen huijarin tilille. Tällaisessa tilanteessa käyttöoikeutetulle voisi muodostua vahingonkorvausvelvollisuus tälle toiselle henkilölle (=tilinomistajalle). Tällöin tilisiirto verkkopankin sisällä voi lisätä käyttöoikeutetun eli asiakkaan vahinkoa.

Nyt käsiteltävässä tilanteessa verkkopankin sisällä siirretyt varat ovat olleet asiakkaan omia, eikä verkkopankin sisällä tapahtunut siirto lisää asiakkaan vahinkoa FINEn ratkaisussa tarkoitetulla tavalla. Tämän vuoksi pankki katsoo, ettei se ole tapauksessa korvausvelvollinen.

Mikäli kuitenkin katsottaisiin, että pankki on asiassa korvausvelvollinen, korvauksen määrässä tulee ottaa huo­mioon, että asiakas on vahvistanut vahvasti tunnistautuneena tililtään kaksi 20.000 euron maksua huijarille. Mikäli verkkopankin sisäisessä siirrossa olisi edellytetty vahvaa tunnistamista, olisi toinen näistä tunnistautumisista käytetty tämän sisäisen siirron vahvistamiseen ja toinen vahvistaminen 20.000 euron maksuun huijarille. Pankin vastuu vahingosta voisi olla näin ollen enintään 20.000 euroa vähennettynä sen tilin saldolla en­nen em. siirtoa, jolta varat maksettiin huijarille.

Pankin toimet asiakkaan yhteydenoton jälkeen

Asiakkaalle on onnistuttu järjestämään tapaamisaika huijauksen jälkeen seuraavalle päivälle. Asiakas on ollut konttorilla tapaamisessa noin kello 10.30–11.30 välisen ajan. Tämän jälkeen asiasta on lähetetty huijaustapauksiin liittyvien ohjeiden mukaan selvityspyyntö samana päivänä klo 11.40 pankin keskusluottolaitokseen ja vielä samaan ryhmään kuuluvaan pankkiin, jonne huijari on varat siirtänyt. Tämä on tapahtunut noin klo 12.45. Pankki on saanut klo 14.28 vastauksen, että he ovat yrittäneensä tavoitella asiakastaan ja että varat on nostettu käteisenä eikä niiden palauttaminen ole mahdollista. Todennäköisesti varat on nostettu automaatista jo 9.–10.10.2024 välisenä yönä eikä seuraavan päivän tapahtumilla ole merkitystä varojen takaisin saa­miseksi. Tästä pankilla ei kuitenkaan ole varmaa tietoa, eikä pankki käsittele asiakkaan reklamaatiota siltä osin, kun se koskee toisen pankin ja/tai nostoautomaattipalveluiden tarjoajan toimintaa rikollisen nostaessa pankin asiakkaalta huijattuja varoja.

Pankki katsoo, että asiakkaan tapaamisen jälkeen pankki on toiminut erittäin ripeästi ja pankin ohjeistuksen mukai­sesti varojen takaisin saamiseksi. Valitettavasti verkkopankin ja kortin sulkemisella, käynnillä pankin kontto­rissa tai pankin palautuspyynnöllä ei ole vaikutusta varojen takaisinsaamiseen, mikäli huijarit ovat ehtineet nostaa varat nostoautomaatista, kuten tässäkin tapauksessa on ilmeisesti käynyt.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

  • Esimerkkejä pankin tunnistussovelluksen näkymästä verkkopankkiin kirjauduttaessa ja maksua vahvistettaessa. Lisäksi esimerkki asiakkaalle lähetettävästä maksun lisävahvistusta koskevasta tekstiviestistä.
  • Asiakkaan tililtä tehtyjen kahden 20.000 euron tilisiirron tiedot.
  • Ote asiakkaan tilitapahtumista.
  • Henkilöasiakkaiden pankkitunnuksilla käytettävien palveluiden yleiset ehdot.

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. tilisiirroille vai onko maksutapahtumia pidettävä oikeudettomina. Lisäksi lautakunnan on arvioitava sitä, mikä merkitys on vahingon aiheutumisen ja sen määrän osalta sillä, että asiakkaan tilien välillä on voitu tehdä oikeudeton tilisiirto, jossa ei ole edellytetty maksajan vahvaa tunnistamista.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulaki

Maksupalvelulain (290/2010) 38 §:n 1 momentin mukaan:

”Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.”

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) (898/2017) mukaan:

”Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.”

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta) 1 momentin (898/2017) mukaan:

”Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.”

Lain 72 §:n (Todistustaakka) (898/2017) mukaan:

”Jos maksupalvelun käyttäjä kiistää antaneensa suostumuksensa maksutapahtuman toteuttamiseen, hänen palveluntarjoajansa on osoitettava, että suostumus on annettu sovitulla tavalla. Jos maksupalvelun käyttäjä väittää, että maksutapahtumaa ei ole toteutettu asianmukaisesti, palveluntarjoajan on osoitettava, että maksutapahtuma on kirjattu ja merkitty tileille oikein ja ettei maksutapahtuman käsittelyyn ole vaikuttanut tekninen vika tai muu häiriö.

Jos maksutapahtuma on käynnistetty maksutoimeksiantopalvelun tarjoajan välityksellä, tällä on todistustaakka 1 momentissa tarkoitetuista seikoista oman suorituksensa osalta ja siitä, että maksajan maksutiliä pitävä palveluntarjoaja on vastaanottanut maksutoimeksiannon.

Se seikka, että palveluntarjoaja voi näyttää, että suostumus maksutapahtuman toteuttamiseen on annettu maksuvälineellä, ei välttämättä yksin riitä osoittamaan, että maksuvälineen haltija on antanut suostumuksensa maksutapahtuman toteuttamiseen, toiminut petollisesti taikka laiminlyönyt tahallisesti tai törkeän huolimattomasti 53 ja 54 §:ssä säädettyjä velvollisuuksiaan.”

Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 5 momentin (575/2020) mukaan:

”Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1) käyttää maksutiliään tietoverkon välityksellä;
2) käynnistää sähköisen maksutapahtuman;
3) toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
[…]
Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.”

Maksupalveludirektiivin tekniset sääntelystandardit

Komission delegoidun asetuksen (EU) 2018/389 (PSD2 RTS), joka koskee maksupalveludirektiivin (PSD2) teknisiä sääntelystandardeja, 15 artiklan (Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot) mukaan:

”Edellä 2 artiklassa säädettyjen vaatimusten täyttyessä on sallittava, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.”

Pankin ehdot

Pankin henkilöasiakkaiden pankkitunnuksilla käytettävien palveluiden yleisten ehtojen (pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta pankkitunnusten oikeudettomasta käytöstä maksuvälineenä pankin verkkopalvelussa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen kohdan 6.4. (Maksutoimeksiannot) mukaan:

”Asiakas antaa suostumuksensa maksutoimeksiannon toteuttamiseen hyväksymällä toimeksiannon tunnuksillaan. Pankki voi turvallisuussyistä pyytää lisävahvistuksen asiakkaan verkkopalvelun kautta antamalle maksutoimeksiannolle. Lisävahvistus on osa maksutoimeksiantoa ja maksutoimeksianto katsotaan annetuksi pankille vasta kun pankki on vastaanottanut asiakkaalta lisävahvistuksen ohjeiden mukaisesti.”

Asian arviointi

Tapahtumienkulku

Asiassa on riidatonta, että asiakas on joutunut puhelimessa huijatuksi, kun hänelle on soittanut henkilö, joka on esittänyt olevansa ”pankkivalvonnasta”. Soittaja on uskotellut asiakasta, että hänen kortillaan on tehty suuri katevaraus Virossa ja asiakas voisi poistaa sen puhelimellaan.

Asiakkaan verkkopankkiin on kirjauduttu käyttäjätunnuksella ja vahvistamalla kirjautuminen tunnistussovelluksella. Asiakas pitää mahdollisena, että hän on antanut käyttäjätunnuksensa puhelimessa. Asiakas on myös kertonut hyväksyneensä tapahtumia puhelimellaan olevalla tunnistussovelluksella. Pankkilautakunta katsoo siten, että asiakas on antanut käyttäjätunnuksensa puhelimessa ja hyväksynyt sen jälkeen kirjautumisen tunnistussovelluksellaan.

Rikolliset ovat asiakkaan verkkopankkiin päästyään klo 18.07 ensin siirtäneet 55.000 euroa asiakkaan talletustililtä asiakkaan käyttelytilille. Siirrossa ei ole edellytetty asiakkaan vahvaa tunnistamista. Tämän jälkeen rikolliset ovat klo 18.10 luoneet 20.000 euron tilisiirron kolmannen henkilön tilille. Tämä siirto on vahvistettu asiakkaan tunnistussovelluksessa klo 18.10, jolloin asiakkaalle on lähetetty maksun lisävahvistusta koskeva tekstiviesti. Tekstiviestissä olevalla koodilla on vahvistettu maksu klo 18.11, jolloin maksu on suoritettu. Toinen 20.000 euron tilisiirto samalle maksunsaajalle on toteutettu samalla tavalla klo 18.26–18.27.

Asiakkaan mukaan hänen puhelimessaan ei ole näkynyt tilisiirtojen saajaa eikä siirrettävää summaa. Pankin selvityksen mukaan tunnistussovelluksessa näkyy aina maksua vahvistettaessa mm. maksunsaaja, maksunsaajan tilinumero, eräpäivä ja summa, kuten pankin toimittamasta esimerkinomaisesta kuvankaappauksesta käy ilmi.

Pankkilautakunnalla ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä. Pankkilautakunta katsoo, että asiakkaan on täytynyt hyväksyä em. maksut puhelimessaan olevalla tunnistussovelluksella, jossa asiakkaalle on näytetty maksun tiedot (mm. maksunsaaja, maksunsaajan tilinumero ja summa).

Asiakkaan mukaan hänelle lähetetyt tekstiviestit ovat olleet vieraskielisiä. Pankin mukaan tämä on mahdollista, jos rikolliset ovat muuttaneet verkkopankin kieliasetuksen sinne päästyään, jolloin viestit ovat voineet olla ruotsinkielisiä. Pankkilautakunta pitää siten todennäköisenä, että asiakkaalle lähetetyt maksun lisävahvistusta koskevat tekstiviestit ovat olleet ruotsiksi. Pankkilautakunta katsoo, että asiakas on kertonut suullisesti puhelimessa viesteissä olevan vahvistuskoodin.

Asiakas on kertomansa mukaan puhelun jälkeen käynyt tarkastamassa tietokoneellaan verkkopankista tilinsä ja huomannut rahojen katoamisen. Asiakas on soittanut noin klo 19.00 sulkupalveluun, jossa asiakkaan pankkitunnukset ja maksukortti on suljettu.

Maksajan suostumus maksutapahtuman toteuttamiseen

Pankkilautakunta on edellä katsonut, että asiakkaan on täytynyt vahvistaa em. maksut tunnistussovelluksellaan, jossa ennen vahvistusten antamista asiakkaan on täytynyt nähdä tunnistussovelluksessaan vahvistettavan maksun tiedot, ts. maksun summan, maksajan ja maksunsaajan tilinumeron.

Vaikka asiakas olisi antanut em. vahvistukset tultuaan puhelimessa rikollisten harhaan johtamaksi, tällä ei ole merkitystä asiakkaan ja pankin välisessä suhteessa. Pankkilautakunta katsoo, että antamalla tunnistussovelluksellaan vahvistuksen sovelluksessa näkyneelle ko. maksulle asiakas on sitovasti antanut maksupalvelulain 38 §:ssä ja pankkitunnusehtojen tarkoitetun suostumuksensa maksutapahtuman toteuttamiseen.

Näin ollen Pankkilautakunta katsoo, etteivät kyseessä olevat maksutapahtumat ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia ja ettei käsillä siten ole perusteita pankin vastuulle tilisiirroista asiakkaalle aiheutuneesta vahingosta.

Omien tilien välillä tehdyn oikeudettoman maksun tekeminen ilman vahvaa tunnistamista

Ennen kolmannen henkilön tilille tehtyjä kahta 20.000 euron tilisiirtoa asiakkaan omien tilien välillä on tehty 55.000 euron tilisiirto, jossa ei ole edellytetty vahvaa tunnistamista.

Pankkilautakunta on ottanut kantaa ilman vahvaa tunnistamista tehtyihin omien tilien välisiin tilisiirtoihin ratkaisusuosituksessa FINE-63776-R3Y5P (annettu 25.4.2025). Ratkaisusuosituksessaan lautakunta katsoi, että vaikka omien tilien välinen tilisiirto on sallittua toteuttaa ilman vahvaa tunnistamista, maksupalvelun käyttäjä ei maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan kuitenkaan vastaa maksuvälineensä oikeudettomasta käytöstä, jos maksupalveluntarjoaja ei ole maksuvälineen oikeudettoman käytön yhteydessä edellyttänyt maksajan vahvaa tunnistamista. Sääntely sallii siten sen, että pankin ei ole pakko edellyttää vahvaa tunnistamista omien tilien välisessä tilisiirrossa, mutta pankin päätettävissä on, haluaako se olla edellyttämättä sen käyttöä. Näin ollen salliessaan maksutapahtumia tehtävän ilman maksajan vahvaa tunnistamista ottaa pankki vastuulleen riskin maksuvälineen oikeudettomasta käytöstä.

Tässä tapauksessa asiakkaan talletustililtä asiakkaan käyttelytilille tehty 55.000 euron suuruinen tilisiirto on rikollisten oikeudettomasti tekemä. Kyseisen tilisiirron jälkeen on käyttelytililtä tehty kaksi 20.000 euron tilisiirtoa kolmannen henkilön tilille, jotka asiakas on itse vahvistanut vahvalla tunnistamisella.

Pankki on katsonut, että asiakkaan omien tilien välillä siirretyt varat ovat olleet asiakkaan omia eikä asiakkaan omien tilien välillä tapahtunut siirto lisää asiakkaan vahinkoa. Tämän vuoksi pankki katsoo, ettei se ole tapauksessa korvausvelvollinen. Lisäksi pankki katsoo, että joka tapauksessa asiakas on vahvistanut vahvasti tunnistautuneena tililtään kaksi 20.000 euron maksua huijarille. Mikäli verkkopankin sisäisessä siirrossa olisi edellytetty vahvaa tunnistamista, olisi toinen näistä tunnistautumisista käytetty tämän sisäisen siirron vahvistamiseen ja toinen vahvistaminen 20.000 euron maksuun huijarille. Pankin vastuu vahingosta voisi olla näin ollen enintään 20.000 euroa vähennettynä sen tilin saldolla en­nen em. siirtoa, jolta varat maksettiin huijarille.

Pankkilautakunta toteaa, että asiassa aiheutunut 40.000 euron vahinko on realisoitunut, kun asiakas on edellä esitetyn tavoin antanut maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtumien toteuttamiselle, minkä johdosta asiakas lähtökohtaisesti vastaa maksuista aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa siltä osin, kun pankki ei ole onnistunut palauttamaan varoja asiakkaalle.

Tapauksessa saadun kokonaisselvityksen perusteella Pankkilautakunta kuitenkin katsoo, että asiassa aiheutuneen vahingon määrään on vaikuttanut em. maksuja ennen tehty asiakkaan omien tilien välinen 55.000 euron siirto ja se, että pankki on sallinut kyseisen oikeudettoman siirron tekemisen ilman vahvaa tunnistamista. Pankkilautakunta katsoo, että tässä tapauksessa ei ole merkitystä sillä hypoteettisella tapahtumankululla, jos pankki olisi edellyttänyt vahvaa tunnistamista myös omien tilien välisessä tilisiirrossa.

Pankkilautakunta katsoo siten, että pankin vastuulla on se määrä, jolla asiakkaalle aiheutuneen vahingon määrä on lisääntynyt sen vuoksi, että pankki on sallinut asiakkaan omien tilien välisen siirron ilman vahvaa tunnistamista. Vahingon määrää laskettaessa on otettava vahingon määrää pienentävänä huomioon ne varat, jotka olivat ennen omien tilien välistä siirtoa asiakkaan käyttelytilillä, josta maksut kolmannelle tehtiin.

Pankin toimet vahingon rajoittamiseksi

Asiakas katsoo, että pankki on toiminut hitaasti varojen katoamisen estämiseksi. Asiakas on soittanut sulkupalveluun heti tilisiirtojen jälkeen noin klo 19.00. Asiakas on ollut yhteydessä pankkiin seuraavana aamuna. Asiakas on ollut konttorilla tapaamisessa noin kello 10.30–11.30 välisen ajan.

Pankin selvityksen mukaan asiasta on lähetetty selvityspyyntö samana päivänä klo 11.40 pankin keskusluottolaitokseen ja 12.45 samaan ryhmään kuuluvaan pankkiin, jonne varat oli siirretty. Pankki on saanut klo 14.28 vastauksen toisesta pankista, että he ovat yrittäneensä tavoitella asiakastaan ja että varat on nostettu käteisenä eikä niiden palauttaminen ole mahdollista. Pankin mukaan varat on todennäköisesti nostettu automaatista jo 9.–10.10.2024 välisenä yönä.

Pankkilautakunta katsoo, että pankki on toiminut siltä kohtuudella edellytettävällä tavalla sen jälkeen, kun asiakas on ilmoittanut pankille rahojensa katoamisesta. Lautakunta pitää lisäksi mahdollisena, että varat oli ehditty nostaa toisesta pankista ennen kuin asiakkaan pankki sai tiedon tapahtuneesta. Lautakunta katsoo, että pankille ei ole syntynyt korvausvastuuta asiakkaan esittämän pankin hitaasti toimimisen perusteella.

Lopputulos

Pankkilautakunta katsoo asiakkaan antaneen ko. yhteissummaltaan 40.000 euron tilisiirroille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ja asiakkaan siten vas­taavan tilisiirroista aiheutuneesta vahingosta pankin ja asiakkaan välisessä suhteessa lukuun ottamatta ilman vahvaa tunnistamista tehtyjä pankin vastuulle jääviä siirtoja. Edelleen lautakunta katsoo, että vahingon kokonaismäärään on vaikuttanut 55.000 euron suuruinen tilisiirto asiakkaan omien tilien välillä. Koska pankki on sallinut kyseisen tilisiirron tekemisen ilman vahvaa tunnistamista ja siirrot ovat oikeudettomia, vastaa pankki kyseisestä tilisiirrosta ja asiassa aiheutuneesta vahingosta siltä osin kuin kyseiset siirrot ovat vahingon kokonaismäärää lisänneet.

Edellä esitettyyn viitaten Pankkilautakunta suosittaa pankkia hyvittämään 40.000 euroa vähennettynä asiakkaan käyttelytilillä ennen omien tilien välistä siirtoa olleilla varoilla tilille, joilta em. oikeudeton tilisiirto ilman vahvaa tunnistamista tehtiin.

Ratkaisusuositus syntyi äänin 4–1. Ratkaisusuosituksen antamiseen osallistuivat puheenjohtaja Sillanpää sekä jäsenet Atrila, Punakivi ja Tervonen. Jäsen Piilon eriävä mielipide on liitteenä.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää 
Sihteeri Heino

Jäsenet:
Atrila
Piilo
Punakivi
Tervonen

Jäsen Piilon eriävä mielipide:

Olen eri mieltä Pankkilautakunnan enemmistön ratkaisusuosituksen perusteluista ja lopputuloksesta.

Asian kannalta merkitykselliset lainsäännökset ovat maksupalvelulain 38 § (Maksajan suostumus maksutapahtuman toteuttamiseen), maksupalvelulain 85 c §:n 1 ja 5 momentti (Tunnistaminen), komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artikla (Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot), maksupalvelulain 62 §:n 3 momentin 4 kohta (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) sekä maksupalvelulain 63 §:n 1 momentti (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta).

Tapauksessa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista rikollisen tekemän asiakkaan omien tilien välisen siirron tekemiseksi.  Tilisiirto on tehty asiakkaan omien tilien välillä eli asiakas on ollut molempien tilien omistajana.  Omien tilien välillä tehdyn siirron jälkeen varat ovat edelleen olleet asiakkaan omalla tilillä ja hän on voinut määrätä varoista.  Varsinainen vahinko asiakkaalle on tapahtunut, kun varat on siirretty ulkopuolisen omistamalle tilille.   Nyt puheena olevassa tapauksessa asiakas on antanut maksupalveluin 38 §:n mukaisen suostumuksen tilisiirrolle, jolla varat siirrettiin pois hänen hallinnastaan ulkopuoliselle. Mikäli asiakas ei olisi antanut suostumustaan ulkopuoliselle tehtyyn tilisiirtoon, ei mitään vahinkoa olisi tapahtunut.  Syy-yhteyttä omien tilien välisillä siirroilla ei ole varsinaiseen vahinkoon ja näin ollen omien tilien välillä tehdystä siirrosta ei ole aiheutunut asiakkaalle korvattavaa vahinkoa.

Asiakkaalle aiheutunut vahinko ei ole seurausta omien tilien välisestä oikeudettomasta siirrosta, vaan asiakaan omalla maksupalvelulain 38 §:n mukaisella suostumuksella tehdystä tilisiirrosta, joka ei maksupalvelulain mukaan ole maksuvälineen oikeudetonta käyttöä.

Lopputulos

Katson, että vahinko on aiheutunut maksupalvelulain 38 §:n mukaisella asiakkaan suostumuksella tehdyn maksutapahtuman seurauksena, joita ei ole pidettävä maksupalvelulain mukaan oikeudettomina. Asiakkaan omien tilien välillä ilman vahvaa tunnistamista tehty oikeudeton siirto ei ole syy-yhteydessä asiakkaan myöhemmin vahvistamalla siirrolla hänelle aiheutuneeseen vahinkoon.

Edellä todetuin perustein katson, että pankki ei vastaa kyseisistä tilisiirroista ja asiassa aiheutuneesta vahingosta miltään osin, eikä Pankkilautakunnan tulisi suosittaa pankkia hyvittämään 40.000,00 euroa tilille, joilta oikeudeton tilisiirto ilman vahvaa tunnistamista tehtiin.

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä