Haku

FINE-73170-R6T8Y8

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-73170-R6T8Y8 (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 21.11.2025

Miten vastuu asiakkaan puhelimessa olevalla pankin tunnistussovelluksella vahvistetuista tiisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksajan suostumus maksutapahtumalle. Omien tilien välinen siirto.

Tapahtumatiedot

Asiakas joutui 2.12.2024 huijauspuhelun kohteeksi. Asiakkaan tileiltä on tehty 2.12.2024 pankin ulkopuolelle yhteensä kuusi maksua, joiden yhteissumma on ollut 68 600 euroa. Poliisi on onnistunut palauttamaan asiakkaalle osan varoista. Asiakas vaatii pankkia korvaamaan hänelle 31 740,24 euroa. Asiakas vaatii pankkia korvaamaan myös korot sijoituksesta, joka hänellä oli ollut. Korkovaatimuksen määrä on 1 000 euroa. Ulkopuolinen on tehnyt verkkopankin sisällä tilisiirtoja asiakkaan omien tilien ja ulkopuolisen asiakkaan nimiin avaamien tilien välillä ennen osaa pankin ulkopuolelle lähteneitä tilisiirtoja. Kaikki maksut lukuun ottamatta viittä verkkopankin sisäistä tilisiirtoa on vahvistettu ja lisävahvistettu 2.12.2024 pankin tunnistussovelluksella, joka on aktivoitu käyttöön 22.4.2021.

Asiakkaan valitus

Asiakas vaatii pankkia hyvittämään hänelle kaiken, mitä poliisi ei onnistunut saamaan takaisin. Poliisi on saanut rikollisilta asiakkaalle takaisin 25 273,31 euroa ensin ja sitten 11 201,00 euroa. Asiakas vaatii pankilta varat, jotka puuttuvat, eli 31 740,24 euroa. Asiakas vaatii pankkia korvaamaan myös korot sijoituksesta, joka hänellä oli ollut. Asiakkaan näkemyksen mukaan rahat, jotka olivat olleet etutilillä, olisivat kasvaneet vuodessa noin 1 000 euroa korkoa, mutta kun rahat varastettiin, asiakas menetti automaattisen vuosikoron. Asiakkaan etutilillä oli ollut 20 000 euroa, joustotilillä 50 000 euroa ja käyttötilillä 30 076,42 euroa.

Asiakkaan näkemyksen mukaan pankin olisi pitänyt suojata eläkeläisten varoja, koska asiakas laittoi pieniä rajoja tileille ja luotti siihen, että pankki torjuu epäilyttäviä maksuja tai siirtoja, jotka menevät rajojen yli.

2.12.2024 asiakas joutui verkkopankkihuijauksen kohteeksi. Puhelun soittaja esittäytyi nimellä X ja esiintyi pankin työntekijänä. Soittaja väitti, että asiakkaan tilille oli otettu lainoja ilman lupaa. Hän antoi tarkkoja tietoja asiakkaan tilin saldosta, mikä sai asiakkaan uskomaan soittajan olevan aito pankin työntekijä. Puhelun aikana asiakas suoritti soittajan ohjeistamia toimia ja sai viestejä, joiden väitettiin olevan pankilta.

Soittaja mainitsi asiakkaan tilin tarkan saldon, joten asiakkaan mieleen ei tullut epäillä soittajan henkilöllisyyttä. Lisäksi asiakas ei ollut tietoinen siitä, ettei pankki koskaan soita asiakkailleen, koska esimerkiksi vakuutusyhtiöt (myös pankkien yhteydessä toimivat) usein soittavat tarjotakseen lisätuotteita.

Asiakas vakuutti soittajalle kiivaasti, ettei halua eikä ole hakenut lainoja. Tähän soittaja reagoi vakuuttamalla, ettei ollut mitään hätää, sillä hän auttaisi asiakasta perumaan kaikki lainat, joita huijari oli ottamassa asiakkaan nimissä. Asiakas oli aivan stressaantunut ja ryhtyi hermostuneena suorittamaan soittajan ohjeistamia toimenpiteitä puhelun aikana. Oli kiireen tuntua. Asiakas sai puhelimeensa useita viestejä, jotka vaikuttivat olevan pankilta (tai mahdollisesti huijarilta). Viestit oli ilmeisesti tarkoitettu lainojen perumista varten. Soittaja piti asiakkaan kiireisenä ja harhautti taitavasti samalla vakuuttaen, että poistamalla tietyt viestit asiakas poistaisi myös ei-toivotut lainat.

Puhelun jälkeen asiakas tarkisti tilinsä ja huomasi, että lähes 70 000 euroa oli siirretty pois. Asiakaspalvelussa kerrottiin, että asiakas oli joutunut huijauksen kohteeksi, ja asiakkaan käyttäjätunnus estettiin. Sen jälkeen pankki varasi tapaamisen torstaille 12.12.2024, jotta henkilökohtainen pääsy asiakkaan pankkitilille voitaisiin palauttaa. Asiakasta ohjeistettiin myös menemään poliisille tekemään rikosilmoitus, jonka pankki tarvitsisi.

Asiakas on tehnyt rikosilmoituksen. Asiakas vaatii, että pankki: 1. Ottaa vastuuta siitä, ettei näin epäilyttävää ja valtavaa tilisiirtoa estetty automaattisesti. 2. Palauttaa loput asiakkaan varoista, joita viranomaiset eivät ole onnistuneet palauttamaan. 3. Selkeyttää turvatoimiaan, jotta vastaavat tapaukset eivät ole mahdollisia tulevaisuudessa.

Asiakas ihmettelee, miten on mahdollista tai hyväksyttävää, että pankki ei suojele asiakkaitaan epäilyttäviltä rahansiirroilta. Entä jos asiakas olisi siirtänyt 70 % elinikäisistä säästöistään yhdellä kertaa lapselle tai lapsenlapselle. Eikö sitäkin voitaisi pitää erittäin epäilyttävänä rahansiirtona? Kuinka on mahdollista, että näin suuri osa kahden eläkeläisen varoista sallitaan siirrettävän täysin tuntemattoman henkilön tilille ilman, että pankki estää sen automaattisesti tai tarkistaa siirron todellisen luonteen ensin? Pankkien palvelujärjestelmissä kerrotaan niiden estävän epäilyttäviä siirtoja. Laki vaatii pankkeja tuntemaan asiakkaansa. Näin ei kuitenkaan tapahtunut. Miten näin suuri tilisiirto saattoi mennä läpi?

Kun asiakas avasi hänen ja puolisonsa yhteisen tilin, asiakas pyysi pankkia asettamaan hyvin matalat rajat pankkitarpeita varten, noin 500 euroa nostoille päivässä. Asiakkaan näkemyksen mukaan huijausten ehkäiseminen olisi pitänyt toteutua pankin toimesta. Poliisi onnistui saamaan huijattuja varoja takaisin.

Pankin vastine

Tapahtumainkulku

Pankin käsityksen mukaan asiakas on joutunut huijauspuhelun uhriksi. Asiakas on huijattu luovuttamaan pankkitunnuksensa huijareille ja lisäksi asiakas on vahvistanut pankin tunnistussovelluksella huijareiden kirjautumiset verkkopankkiin sekä hyväksynyt huijareiden tekemät maksut verkkopankissa. Asiakas on menettänyt huijauksessa 68 600 euroa, joista on saatu palautettua 36 474,07 euroa.

Reklamoidut maksut:

10 000,00 EUR 2.12.2024, klo.17:16:50, tehty asiakkaan käyttötililtä.

10 000,00 EUR 2.12.2024, klo. 17:19:55, tehty asiakkaan käyttötililtä.

10 000,00 EUR 2.12.2024, klo. 17:25:56, tehty asiakkaan Etutililtä.

9 000,00 EUR 2.12.2024, klo. 17:41:02, tehty huijareiden avaamalta uudelta asiakkaan käyttötililtä.

14 600,00 EUR 2.12.2024, klo. 18:05:28, tehty huijareiden avaamalta uudelta asiakkaan käyttötililtä.

15 000,00 EUR 2.12.2024, klo. 18:22:35, tehty huijareiden avaamalta uudelta asiakkaan käyttötililtä.

Omien tilien väliset siirrot:

10 000,00 EUR 2.12.2024, klo. 17:37:25, asiakkaan käyttötililtä huijareiden avaamalle uudelle asiakkaan käyttötilille.

10 000,00 EUR 2.12.2024, klo. 17:43:54, asiakkaan Etutililtä huijareiden avaamalle uudelle asiakkaan käyttötilille.

49 500,00 EUR 2.12.2024, klo. 17:52:54, asiakkaan Joustotalletustililtä Etutilille.

49 500,00 EUR 2.12.2024, klo. 17:53:44, asiakkaan Etutililtä huijareiden avaamalle uudelle asiakkaan käyttötilille.

30 000,00 EUR 2.12.2024, klo. 18:39:18, tehty huijareiden asiakkaalle avaamien tilien välillä.

Asiakkaan pankin tunnistussovellus

Asiakkaan käytössä oleva ja tapahtumien hyväksymiseen käytetty pankin tunnistussovellus on aktivoitu asiakkaan käyttöön 22.4.2021 ja se on asennettu laitteelle iOS;18.1.1; iPhone13,4. Asiakkaalla ei ole ollut muita pankin tunnistussovelluksia eikä tunnuslukulaitteita aktiivisessa käytössään tapahtumahetkellä.

Sisäänkirjautumiset verkkopankkiin ja tilinavaukset verkkopankissa

Pankki on toimittanut Pankkilautakunnalle listauksen kaikista asiakkaan kirjautumisista verkko- ja mobiilipankkiin ja uusien tilien avaamisista. Osa istunnoista on asiakkaan omia istuntoja ja osa todennäköisesti huijareiden istuntoja, pankin käsitys tahosta löytyy tapahtuman yhteydestä. Alla esimerkkinä asiakkaan tunnistussovelluksessa näytetyt tekstit asiakkaan kirjautumisista verkkopankkiin ja uusien tilien avaamisista.

Asiakkaan oma istunto
2.12.2024 klo.07:06:22
“Do you want to log in to the Mobile bank?
Prevent fraud!
Don't login with your banking credentials through a link you got in a message or if someone else asked you to. If you suspect fraud, cancel the confirmation and contact our customer service. We will help you.”

Sisäänkirjautuminen vahvistettu 2.12.2024 klo.07:06:29.

Asiakkaan oma istunto
2.12.2024 klo.10:09:52
“I want to log in to service [pankin verkkopankki]
identifier: KPWP
Before confirming, make sure the login ID matches what is shown in the authentication view.
Prevent fraud!
Don't login with your banking credentials through a link you got in a message or if someone else asked you to. If you suspect fraud, cancel the confirmation and contact our customer service. We will help you.”

Sisäänkirjautuminen vahvistettu 2.12.2024 klo.10:09:56.

Maksutapahtumat asiakkaan verkkopankissa

Pankki on toimittanut Pankkilautakunnalle listauksen kaikista asiakkaan verkkopankissa tehdyistä maksuista. Osa tapahtumista on asiakkaan omia toimenpiteitä ja osa huijareiden asiakkaan pankkitunnuksilla tekemiä toimenpiteitä. Tapahtumista 20 kappaletta on estetty johtuen turvarajoista. Kaikki vahvistukset on tehty asiakkaan käytössä olevalla pankin tunnistussovelluksella. Alla esimerkkinä asiakkaan tunnistussovelluksessa näytetyt tekstit maksujen vahvistuksista ja lisävahvistuksista.

2.12.2024 klo 17:15:55
“[pankin verkkopankki] requests for confirmation
I want to pay
amount: 10,000.00 EUR
beneficiary: [X]
to account: [FIXX XXXX XXXX XXXX XX]
date: 02/12/2024
from account: [FIXX XXXX XXXX XXXX XX]”

Maksu on vahvistettu 2.12.2024 klo. 17:16:01.

2.12.2024 klo. 17:16:32
“[pankin verkkopankki] requests for confirmation
You are making a payment that requires additional confirmation
If someone else has asked you to transfer money, it might be a fraud.
if you suspect fraud, cancel the confirmation and contact our customer service. we will help you.
If you want to confirm the payment, check that following details are correct.
amount: 10,000.00 EUR
beneficiary: [X]
to account: [FIXXXXXXXXXXXXXXXX]
date: 2024-12-02
from account: [FIXX XXXX XXXX XXXX XX]

Maksu on lisävahvistettu 2.12.2024 klo. 17:16:37.

Asiakkaan vaatimus koskien maksun automaattista estoa

Pankin ja asiakkaan välinen vastuunjako määräytyy maksupalvelulain ja pankin ja asiakkaan välisessä suhteessa sovellettavien sopimusehtojen perusteella. Rahanpesulaista ei seuraa pankille reaaliaikaista velvollisuutta estää asiakkaan itse tekemiä maksutapahtumia.

Pankkitunnuksilla käytettävien palveluiden yleisten ehtojen mukaan pankilla on oikeus, mutta ei velvollisuutta keskeyttää asiakkaan verkkopankkipalveluiden käyttäminen kokonaan tai osittain taikka esimerkiksi jättää pankille annettu toimeksianto täyttämättä turvallisuussyistä.

Maksupalvelulain 41 §:n mukaisesti pankilla on sitä vastoin velvollisuus toteuttaa maksutoimeksianto, ja maksupalvelulain 47 § edellyttää pankkia välittämään maksut eteenpäin viimeistään maksutoimeksiannon antamista seuraavana päivänä. Pankilla on velvollisuus toteuttaa maksutoimeksianto maksupalvelulain mukaisesti. Pankki saa kieltäytyä toteuttamasta maksutoimeksiantoa vain, jos ehdot maksun toteuttamiselle eivät täyty tai jos muualla laissa niin säädetään. Maksutoimeksiannon toteuttaminen välittömästi on pääsääntö, ja pankkialaa koskevassa sääntelyssä ollaan siirtymässä entistä lyhempiin pankkeja velvoittaviin enimmäisaikoihin maksujen suorittamiselle.

Pankkilautakunta on aiemmassa ratkaisukäytännössään arvioinut pankin velvollisuutta valvoa maksutapahtumia ja sen vaikutusta asiakkaan ja pankin väliseen vastuunjakoon. Lautakunta on antamissaan ratkaisuissa todennut, että vaikka pankeilla on maksupalvelusääntelyn perusteella oltava käytössään maksutapahtumien valvontamekanismit, tällä velvollisuudella ei kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta.

Vastuunjako

Pankin lokitietojen perusteella riidanalaiset maksut on vahvistettu asiakkaan pankin tunnistussovelluksella. Kun asiakas antaa pankille maksupalvelulain mukaisen suostumuksensa maksun veloittamiseen, maksu ei ole oikeudeton, vaikka maksu jälkikäteen osoittautuisikin liittyvän huijaustapaukseen. Siten pankilla ei ole velvollisuutta korvata asiakkaalle vahinkoa, joka on aiheutunut riidan kohteena olevista maksuista. Riidanalaiset maksut jäävät siis asiakkaan vastuulle, sillä ne on vahvistettu pankin tunnistussovelluksella, jossa olennaiset maksutiedot näytetään myös maksun hyväksymisen yhteydessä.

Omien tilien välisissä siirroissa ei ole edellytetty vahvaa tunnistautumista. Pankki kuitenkin katsoo, ettei omien tilien välisellä siirrolla ole syy-yhteyttä asiakkaan kärsimään vahinkoon. Vahinko on aiheutunut asiakkaan suostumuksella tehdyistä maksutapahtumista, joita ei ole pidettävä oikeudettomina.

Nyt kysymyksessä olevaan tapaukseen liittyvissä omien tilien välisissä siirroissa ei ole edellytetty vahvaa tunnistautumista komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artiklan perusteella. Maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista. Maksutapahtumat, jossa maksaja ja maksunsaaja ovat olleet sama luonnollinen henkilö, ovat olleet oikeudettomia, mutta maksutapahtumista ei ole seurannut varallisuusvahinkoa asiakkaalle varojen säilyessä edelleen kokonaisuudessaan asiakkaan vallinnassa. Vahinkoedellytys olisi täyttynyt, jos varat tässä yhteydessä olisivat päätyneet kolmannen osapuolen haltuun.

Nyt arvioitavassa tapauksessa omien tilien väliset siirrot on oikeudettomasti tehnyt huijari, mutta asiakas ei ole siirtojen johdosta menettänyt varoja. Omien tilien väliset siirrot ovat tapahtuneet nimenomaisesti vain asiakkaan omien tilien välillä. Tämä on peruste sille, että omien tilien väliset siirrot ilman maksajan vahvaa tunnistamista on ylipäätään voitu mahdollistaa sekä sääntelyllisesti että käytännössä.

Jos maksuvälineenä olisi käteinen, tilanne vertautuu siihen, että henkilö siirtää käteistä rahaa taskustaan toiseen taskuunsa. Varat pysyvät ko. henkilön hallinnassa varojen siirtämisestä huolimatta siihen saakka, kunnes hän antaa käteisvarat pois hallustaan ulkopuoliselle henkilölle.

Tapaukseen liittyviä maksutapahtumia tulee arvioida maksupalvelulain 62 §:n nojalla itsenäisinä tapahtumina. Vahingon syntymisen välttämätön edellytys on ollut se, että kertaalleen omien tilien välillä siirretyt varat siirretään pois asiakkaan hallussa olevalta tililtä asiakkaan itse pankin tunnistussovelluksellaan antaman suostumuksen perusteella. Tästä syystä pankki katsoo, että pankki ei ole miltään osin vastuussa maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta, koska pankki palveluntarjoajana on nimenomaisesti edellyttänyt vahvaa tunnistautumista niiden maksutapahtumien osalta, joilla varat on siirretty asiakkaan tililtä sivulliselle huijarille.

Vahingon määrän pieneneminen tai kokonaan toteutumatta jääminen olisi edellyttänyt sitä, että huijari ei olisi lainkaan saanut haltuunsa asiakkaan henkilökohtaisia tunnistetietoja ja että asiakas ei olisi itse vahvistanut huijarin kirjautumista asiakkaan verkkopankkiin tai ainakaan huijarin luomia maksutapahtumia. Vahingon välttämättömiä edellytyksiä, conditio sine qua non ja oikeudellisesti relevantteja tapahtumia ovat edellä mainitut toimet eli asiakkaasta itsestään riippuva ja hänen kontrolloitavissaan oleva toiminta. Asiakas on itse mahdollistanut vahingon syntymisen luovuttamalla tunnistautumistietonsa huijarille ja hyväksymällä tämän jälkeen vahvistuspyyntöjä pankin tunnistussovelluksessaan.

Tapauksessa on epävarmaa, mikä merkitys vahvalla tunnistamisella olisi ollut omien tilien välisen siirron toteutumisen ja siten tapauksessa kokonaisuudessaan syntyneen vahingon kannalta. Huijaustilanteessa asiakas on ollut valmis hyväksymään hänelle osoitetut vahvistuspyynnöt, eli kirjautumisen verkkopankkiin ja maksutapahtumat tililtään vieraalle tilille. Vahvan tunnistautumisen käytön suorana seurauksena ei siten voida pitää omien tilien välisten siirtojen toteutumatta jäämistä eli asiakkaalle aiheutuneen vahingon rajautumista.

Yhteenvetona pankki toteaa, että korvausvelvollisuuden edellytyksenä on vastuuperuste, kyseiseen perusteeseen liittyvä vahinko ja vahingon syy-yhteys korvausvastuuseen johtavaan tekoon, toimintaan tai laiminlyöntiin. Tapauksessa pankin vastuuperuste on maksupalvelulain 62 §:n 3 momentin 4 kohdan mukainen palvelutarjoajan vastuu maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista. Kyseiseen perusteeseen liittyvä vahinkoedellytys puuttuu, koska asiakkaalle ei ole aiheutunut mitään varallisuusvahinkoa omien tilien välisten siirtojen toteuttamisella. Asiakkaan laiminlyönti luovuttaessaan henkilökohtaisia tunnistetietojaan huijareille ja maksujen hyväksyminen ovat välttämättömässä syy-yhteydessä aiheutuneeseen vahinkoon, ei omien tilien väliset siirrot. Vahingon määrä on ollut riippuvainen siitä, minkä suuruisia maksutapahtumia asiakas on vahvistanut tehtäväksi tililtään ulkopuoliselle taholle.

Asiakkaan joutuminen petoksen uhriksi on erittäin valitettavaa. Pankki katso kuitenkin, että pankki ei ole korvausvelvollinen asiakkaalle aiheutuneesta vahingosta.

Pankki kiistää asiakkaan esittämän vahingonkorvausvaatimuksen menetettyihin korkoihin liittyen määrältään. Pankin näkemyksen mukaan asiakkaalle koronmenetyksestä aiheutuneen vahingon täsmällinen määrä on tarkoituksenmukaisinta selvittää sen jälkeen, kun FINE on ratkaissut pääasian.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankkitunnuksilla käytettävien palvelujen yleiset sopimusehdot (06.24)

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. maksutapahtumille vai onko maksutapahtumia pidettävä oikeudettomina. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin sekä pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on. Edelleen lautakunnan on arvioitava, vaikuttaako asiakkaan ja pankin välisen vastuunjakoon se, että pankki ei ole edellyttänyt vahvaa tunnistamista viiden verkkopankin sisäisen tilisiirron yhteydessä.

Lautakunnan on myös arvioitava, tuleeko pankin korvata asiakkaalle asiakkaan menettämistä koroista aiheutunut vahinko.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain (290/2010) 38 §:n 1 momentin mukaan

Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Maksupalvelulain 53 §:n 1 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Maksupalvelulain 54 §:n 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelulain 62 §:n mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n 1 momentin mukaan

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 69 §:n 1 momentin mukaan

Palveluntarjoaja on velvollinen korvaamaan vahingon, joka sen tämän lain tai sopimuksen vastaisesta menettelystä on aiheutunut maksupalvelun käyttäjälle.

Maksupalvelulain 85 c §:n 1 momentin mukaan

Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1) käyttää maksutiliään tietoverkon välityksellä;
2) käynnistää sähköisen maksutapahtuman;
3) toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.

Maksupalvelulain 85 c §:n 5 momentin mukaan

Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.

Asian arviointi

Pankin asiassa antamien selvitysten mukaan 2.12.2024 suoritetut tilisiirrot lukuun ottamatta viittä verkkopankin sisäistä siirtoa on vahvistettu asiakkaan omalla pankin tunnistussovelluksella, joka on otettu käyttöön asiakkaan omalle laitteelle vuonna 2021. Asiakas on myös lisävahvistanut maksuja viittä edellä mainittua siirtoa lukuun ottamatta asiakkaan pankin tunnistussovelluksella. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo selvitetyksi, että asiakas on vahvistanut ko. tilisiirrot asiakkaan puhelimessa olleella pankin tunnistussovelluksella. Tunnistussovelluksessa on ennen maksujen vahvistuksen antamista lukenut asianmukaisesti “[pankin verkkopankki] requests for confirmation I want to pay” ja lisäksi on näytetty maksun summa sekä saajan tilinumero ja nimi. Tilisiirtojen toteuttaminen on edellyttänyt myös pankin tunnistussovelluksessa annettuja lisävahvistuksia. Lisävahvistuspyynnössä on asianmukaisesti kerrottu “[pankin verkkopankki] requests for confirmation You are making a payment that requires additional confirmation If someone else has asked you to transfer money, it might be a fraud. if you suspect fraud, cancel the confirmation and contact our customer service. we will help you. If you want to confirm the payment, check that following details are correct.” ja lisäksi on näytetty maksun summa sekä saajan tilinumero ja nimi.

Pankkilautakunta on ratkaisukäytännössään vakiintuneesti katsonut, että tapauksissa, joissa rikoksen uhri on huijattuna tullut itse hyväksyneeksi riidanalaiset maksut esimerkiksi omassa puhelimessaan olevalla pankin mobiilisovelluksella ja sovelluksessa on ennen vahvistuksen antamista näkynyt vahvistettavan maksun tiedot, ei pankkia ole suositettu hyvittämään asiassa aiheutunutta vahinkoa asiakkaalle. Näissä tapauksissa on katsottu, että vaikka asiakas on antanut maksujen vahvistukset rikollisten harhaan johtamana, on hän kuitenkin itse antanut maksuille maksupalvelulain 38 §:ssä ja sovellettavissa ehdoissa tarkoitetun suostumuksensa, eivätkä kyseessä olevat maksutapahtumat tällöin ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia. Tämän vuoksi käsillä ei ole myöskään ollut perusteita pankin vastuulle maksuista asiakkaalle aiheutuneesta vahingosta.

Vaikka asiakas on antanut em. vahvistukset tilisiirroille tultuaan rikollisten har­haan johtamaksi, tällä ei ole merkitystä asiakkaan ja pankin välisessä suhteessa. Pankkilautakunta katsoo, että asiakas on antanut maksutapahtumille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtuman toteuttamiseen ja lisävahvistuksensa tilisiirtoja koskevien maksutoimeksiantojen toteuttamiselle. Näin ollen Pankkilautakunta katsoo, etteivät kyseessä olevat maksutapahtumat ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia ja ettei käsillä siten ole perusteita pankin vastuulle maksuista asiakkaalle aiheutuneesta vahingosta.

Verkkopankin sisällä tehtyjen oikeudettomien maksujen tekeminen ilman vahvaa tunnistamista

Maksupalvelulain 8 §:ssä määritetään, mitä laissa tarkoitetaan vahvalla tunnistamisella, jota lain 85 c § edellyttää palveluntarjoajan käyttävän, jos maksaja käyttää maksutiliään tietoverkon välityksellä tai toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski. Edelleen lain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Vahvan tunnistamisen on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin (EU) 2015/2366 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa (RTS). Komission delegoidun asetuksen (EU) 2018/389 III luvussa luetellaan asiakkaan vahvaa tunnistamista koskevan periaatteen poikkeukset.

Em. asetuksen III luvun 15 artiklan, joka koskee saman luonnollisen henkilön hallussa olevien tilien välisiä tilisiirtoja, mukaan on sallittavaa, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.

Asiassa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista siinä yhteydessä, kun rikolliset ovat tehneet asiakkaan verkkopankissa viisi yhteensä 149 000 euron suuruista tilisiirtoa asiakkaan omien tilien ja rikollisten asiakkaan nimiin avaamien uusien tilien välillä.

Pankkilautakunta toteaa maksupalveluja ja vahvaa tunnistamista koskevan sääntelyn sallivan palveluntarjoajien tietyissä poikkeustilanteissa poikkeavan vahvan tunnistamisen vaatimuksesta ja tässä tapauksessa lautakunta katsoo, että pankki on voinut sallia verkkopankin sisäisten siirtojen tapahtuvan ilman vahvaa tunnistamista.

Vaikka sääntely tietyissä poikkeustilanteissa sallii sen, ettei maksupalveluntarjoajan ole edellytettävä maksujen yhteydessä maksajan vahvaa tunnistamista, ei maksupalvelun käyttäjä maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan kuitenkaan vastaa maksuvälineensä oikeudettomasta käytöstä, jos maksupalveluntarjoaja ei ole maksuvälineen oikeudettoman käytön yhteydessä edellyttänyt maksajan vahvaa tunnistamista. Näin ollen salliessaan maksutapahtumia tehtävän ilman maksajan vahvaa tunnistamista ottaa pankki vastuulleen riskin maksuvälineen oikeudettomasta käytöstä.

Tässä tapauksessa verkkopankin sisällä tehdyt viisi yhteensä 149 000 euron suuruista tilisiirtoa ovat rikollisten oikeudettomasti tekemiä.

Pankkilautakunta toteaa, että asiassa aiheutunut vahinko on realisoitunut, kun asiakas on edellä esitetyn tavoin antanut maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa yhteissummaltaan 68 600 euron suuruisten maksutapahtumien toteuttamiselle, minkä takia asiakas lähtökohtaisesti vastaa maksuista aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Tapauksessa saadun kokonaisselvityksen perusteella Pankkilautakunta kuitenkin katsoo, että asiassa aiheutuneen vahingon määrään on vaikuttanut em. maksuja osittain ennen tehdyt verkkopankin sisäiset siirrot ja se, että pankki on sallinut kyseisten oikeudettomien siirtojen tekemisen ilman vahvaa tunnistamista. Kyseisillä oikeudettomilla tilisiirroilla, jotka vahvan tunnistamisen puutteen vuoksi kuuluvat asiakkaan ja pankin välisessä suhteessa pankin vastuulle, on siirretty asiakkaan omien tilien ja huijareiden asiakkaan nimiin avaamien uusien tilien välillä yhteensä 149 000 euroa. Oikeudettomat tilisiirrot ovat lisänneet asiassa aiheutuneen vahingon määrää 38 600 eurolla. Pankkilautakunta katsoo asiassa aiheutuneen vahingon kuuluvan 38 600 euron osalta pankin vastuulle.

Menetettyjen korkojen korvaaminen

Asiakkaan näkemyksen mukaan rahat, jotka olivat olleet etutilillä, olisivat kasvaneet vuodessa noin 1 000 euroa korkoa, mutta kun rahat varastettiin, asiakas menetti automaattisen vuosikoron. Pankki on kiistänyt asiakkaan esittämän vahingonkorvausvaatimuksen menetettyihin korkoihin liittyen määrältään.

Pankki ei ole kiistänyt asiakkaan esittämää vahingonkorvausvaatimusta menetettyjen korkojen osalta, joten Pankkilautakunta katsoo asiassa aiheutuneen vahingon kuuluvan pankin vastuulle asiakkaan menettämien korkojen todellisen määrän osalta. Pankkilautakunta ei pysty arvioimaan korkojen menettämisestä aiheutuneen vahingon todellista määrää, koska riidan osapuolet eivät ole toimittaneet lautakunnalle riittävää selvitystä asiasta.

Lopputulos

Pankkilautakunta katsoo asiakkaan antaneen ko. yhteissummaltaan 68 600 euron tilisiirroille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ja asiakkaan siten vas­taavan tilisiirroista aiheutuneesta vahingosta pankin ja asiakkaan välisessä suhteessa lukuun ottamatta ilman vahvaa tunnistamista tehtyjä pankin vastuulle jääviä siirtoja. Edelleen lautakunta katsoo, että vahingon kokonaismäärään on vaikuttanut verkkopankin sisällä osittain ennen em. maksuja tehdyt viisi yhteensä 149 000 euron suuruista oikeudetonta tilisiirtoa. Koska pankki on sallinut kyseisten tilisiirtojen tekemisen ilman vahvaa tunnistamista ja siirrot ovat oikeudettomia, vastaa pankki kyseisistä tilisiirroista ja asiassa aiheutuneesta vahingosta siltä osin kuin kyseiset siirrot ovat vahingon kokonaismäärää lisänneet. Oikeudettomilla verkkopankin sisäisillä tilisiirroilla vahingon määrä on lisääntynyt 38 600 eurolla.

Osa asiakkaan menettämistä varoista on onnistuttu palauttamaan, joten edellä esitettyyn viitaten Pankkilautakunta suosittaa pankkia hyvittämään 31 740,24 euroa tileille, joilta em. oikeudettomat tilisiirrot ilman vahvaa tunnistamista tehtiin.

Lisäksi Pankkilautakunta katsoo asiassa aiheutuneen vahingon kuuluvan pankin vastuulle asiakkaan menettämien korkojen todellisen määrän osalta. Pankkilautakunta suosittaa pankkia hyvittämään asiakkaalle asiakkaan menettämien korkojen todellisen määrän.

Ratkaisusuositus syntyi äänin 4–1. Ratkaisusuosituksen antamiseen osallistuivat puheenjohtaja Sillanpää sekä jäsenet Atrila, Punakivi ja Tervonen. Jäsen Piilon eriävä mielipide on liitteenä.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Pöntinen

Jäsenet:
Atrila
Piilo
Punakivi
Tervonen

Jäsen Piilon eriävä mielipide:

Olen eri mieltä Pankkilautakunnan enemmistön ratkaisusuosituksen perusteluista ja lopputuloksesta.

Asian kannalta merkitykselliset lainsäännökset ovat maksupalvelulain 38 § (Maksajan suostumus maksutapahtuman toteuttamiseen), maksupalvelulain 85 c §:n 1 ja 5 momentti (Tunnistaminen), komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artikla (Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot), maksupalvelulain 62 §:n 3 momentin 4 kohta (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) sekä maksupalvelulain 63 §:n 1 momentti (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta).

Tapauksessa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista rikollisen tekemiin asiakkaan omien tilien välisien siirtojen tekemiseen. Tilisiirrot on tehty asiakkaan omien tilien välillä eli asiakas on ollut kaikkien tilien omistajana. Omien tilien välillä tehtyjen siirtojen jälkeen varat ovat edelleen olleet asiakkaan omalla tilillä ja hän on voinut määrätä varoista. Varsinainen vahinko asiakkaalle on tapahtunut, kun varat on siirretty ulkopuolisen omistamalle tilille. Nyt puheena olevassa tapauksessa asiakas on antanut maksupalveluin 38 §:n mukaisen suostumuksen tilisiirroille, joilla varat siirrettiin pois hänen hallinnastaan ulkopuoliselle. Kaikki tilisiirrot ulkopuoliselle on vahvistettu sekä lisävahvistettu asiakkaan omalla pankin tunnistussovelluksella. Mikäli asiakas ei olisi antanut suostumustaan ulkopuoliselle tehtyihin tilisiirtoihin, ei vahinkoa olisi syntynyt. Syy-yhteyttä omien tilien välisillä siirroilla ei ole varsinaiseen vahinkoon ja näin ollen omien tilien välillä tehdyistä siirroista ei ole aiheutunut asiakkaalle korvattavaa vahinkoa.

Asiakkaalle aiheutunut vahinko ei ole seurausta omien tilien välisistä oikeudettomista siirroista, vaan asiakaan omalla maksupalvelulain 38 §:n mukaisella suostumuksella tehdyistä tilisiirroista, jotka eivät maksupalvelulain mukaan ole maksuvälineen oikeudetonta käyttöä.

Lopputulos

Katson, että vahinko on aiheutunut maksupalvelulain 38 §:n mukaisella asiakkaan suostumuksella tehtyjen maksutapahtumien seurauksena, joita ei ole pidettävä maksupalvelulain mukaan oikeudettomina. Asiakkaan omien tilien välillä ilman vahvaa tunnistamista tehdyt oikeudettomat siirrot eivät ole syy-yhteydessä asiakkaan myöhemmin vahvistamilla siirroilla hänelle aiheutuneeseen vahinkoon.

Edellä todetuin perustein katson, että pankki ei vastaa kyseisistä tilisiirroista ja asiassa aiheutuneesta vahingosta miltään osin, eikä Pankkilautakunnan tulisi suosittaa pankkia hyvittämään 31 740,24 euroa tileille, joilta oikeudettomat tilisiirrot ilman vahvaa tunnistamista tehtiin.

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä