Haku

FINE-73222-C5Y4K5

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-73222-C5Y4K5 (2026)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 29.01.2026

Miten vastuu asiakkaan verkkopankissa asiakkaan tililtä oikeudettomasti tehdyistä ja uudella pankin tunnistussovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Pankkitunnusten oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on asioinut 11.12.2024 verkossa rikollisten luomilla valesivuilla luullessaan asioivansa pankkinsa kanssa.

Asiakkaan pankkitunnuksia (käyttäjätunnus, salasana ja tietty luku tunnuslukulistasta) sekä pankin asiakkaalle 11.12.2024 klo 9:49 lähettämässä tekstiviestissä ollutta koodia käyttäen rikolliset ovat ladanneet ja aktivoineet omalle Galaxy A30s -laitteelleen pankin mobiilisovelluksen. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
”TÄRKEÄÄ! [Pankin] verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta uudessa laitteessa. VARO HUIJAUKSIA! ÄLÄ ANNA VAHVISTUSKOODIA KENELLEKÄÄN TAI MILLEKÄÄN VERKKOSIVUILLE. HUIJAUSSIVUSTOT VOIVAT NÄYTTÄÄ [PANKIN] SIVUILTA. Koodia käytetään vain [pankin mobiilisovellus]-sovelluksen käyttöönottoon. Jos et ole itse ottamassa [pankin mobiilisovellusta] käyttöön, älä käytä koodia ja poista tämä viesti. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi 4074 laitteesi [pankin mobiilisovellus]-sovellukseen. Jos epäilet antaneesi verkkopankkitunnuksesi huijaussivulle, soita heti sulkupalveluun xx xxxx xxxx (pvm/mpm). Terveisin [Pankki]”

Em. pankin mobiilisovellusta käyttäen asiakkaan tililtä on tehty 12.12.2024 kello 02:00-02:41 välisenä aikana oikeudettomia tilisiirtoja ulkopuolisille yhteensä 17.100,00 euron arvosta. Pankki on sulkenut asiakkaan verkkopankkitunnukset 12.12.2024 klo 07:17. Poliisi onnistui takavarikoimaan osan rahoista ja palautti 10.3.2025 asiakkaan tilille 2.525,10 euroa. Palauttamatta on näin ollen jäänyt 14.574,90 euroa.

Asiakkaan valitus

Asiakkaan palautusvaatimus pankilta on 14.890,31 euroa, johon sisältyy pankin luotosta perimiä koroja ja kuluja 315,41 euroa 6.2.2025 asti, jolloin hän maksoi oikeudettomasti nostetun velan pois.

Asiakkaan tililtä on oikeudettomasti viety 12.100 euroa ja lisäksi luottokortilta tilille oikeudettomasti siirretty 5.000 euroa eli yhteensä 17.100 euroa 900 euron erissä 12.12. aamuyöllä n. 1-2 aikaan, jolloin asiakas on nukkunut omassa sängyssään. Edellisenä päivänä ennen klo 10:tä joku on luonut mobiilitunnuksen Galaxy-puhelimelle, jollaista asiakkaalla ei ole, ilman että asiakkaan puhelimeen tullutta vahvistuskoodiviestiä oli edes avattu.

11.12. asiakas on käynyt tietokoneensa selaushistorian mukaan [pankki]-fi-paivita-o.es-sivuilla. Tätä asiakas ei muistanut, kun reklamoi pankille ja siksi kiisti käyneensä millään epäilyttävällä sivulla. Jälkikäteen ajatellessaan asiakas uskoo tuolloin linkistä päätyneensä sivuille, jossa kysyttiin poliittisia sidonnaisuuksia, yhteyksiä ulkomaille ja muita asiakastietoja. Asiakas katsoo toimineensa tuossa tilanteessa korkeintaan huolimattomasti, kun kävi em. sivulla. Sivustolla käynti ei aiheuttanut tilin tyhjentämistä, sieltä rikolliset saivat käyttöönsä vain käyttäjätunnuksen ja salasanan. Rikos tehtiin vasta, kun rikolliset olivat onnistuneet lataamaan pankin mobiilisovelluksen.

11.12. klo 9.49 pankki on lähettänyt asiakkaan puhelimeen viestin pankin mobiilisovelluksen käyttöönottamisesta. Puhelimessa ei ole viestien merkkiääniä päällä, jonka vuoksi asiakas ei tuolloin avannut viestiä.

12.12. asiakas oli ammattiliiton valtuuskunnan kokouksessa aamusta iltaan klo 20 asti ja illalla kotiin palattuaan asiakas huomasi pankista tulleen saldohälytyksen. Asiakas yritti tarkistaa nettipankista saldoa, mutta ei päässyt, koska ilmoituksen mukaan hän oli antanut tunnukset liian monta kertaa väärin. Asiakas ihmetteli tätä. Käyttäjätunnuksen ja salasanan asiakas muistaa ulkoa, joten ei kuljeta niitä mukanaan, eikä edes vaimo tiennyt missä asiakas säilytti tunnuksia. Tunnuslukutaulukko oli tallessa almanakan välissä. Viimeisimmässä viestissään pankki ilmoitti tilin suljetun turvallisuussyistä 12.12. aamulla.

Tämän jälkeen asiakas huomasi 11.12. aamulla lähetetyn tekstiviestin, jossa oli vahvistuskoodi mobiilisovelluksen käyttöön ottamiseksi. Koska asiakas ei ollut ottamassa sovellusta käyttöön, ei hän antanut koodia minnekään, ei reagoinut viestiin eikä tehnyt mitään. Ei myöskään poistanut viestiä. Se on yhä puhelimessa ja asiakas on valmis antamaan puhelimin jonnekin tutkittavaksi, jos joku voi selvittää milloin hän on ko. viestin ensimmäisen kerran avannut.

Koska asiakas ei ko. viestiä ollut avannut ennen tilisiirtoja, asiakas ei ole voinut antaa koodia kenellekään ja asiakas katsoo, että pankkia on huijattu ja pankki on vastuussa rahoista korkoineen. Pankin tai puhelinoperaattorin järjestelmissä on haavoittuvuus, jolla rikolliset ovat saaneet mobiilisovelluksen käyttöön tarvittavan pin-koodin käyttöönsä. Pelkkä käyttäjätunnuksen ja salasanan syöttäminen rikollisten sivuille ei olisi aiheuttanut tilini tyhjentämistä. Joku on onnistunut murtautumaan pankin järjestelmiin.

13.12. asiakas yritti soittaa pankkiin onnistumatta. Hän meni pankin toimipisteeseen, jossa tilin 19 nostoa näytettiin asiakkaalle. Asiakas kiisti kaiken epäilyttävän tai huolimattoman toiminnan, teki reklamaation ja kävi tekemässä rikosilmoituksen.

Pankki on kieltäytynyt korvaamasta rahoja tulkitsemalla asiakkaan toiminnan törkeän huolimattomaksi ja perusteli tätä sillä, että muuta mahdollisuutta ei ole kuin se että asiakas antanut vahvistuskoodin jollekulle.

Asiakkaan yrittäessä myöhemmin avata pankin viestejä hän ei saanut vahvistustekstiviestiä puhelimeensa. Samoin kävi, kun hän yritti päästä puhelimella asiakaspalveluun, jolloin automaatti ilmoitti tunnuslukutunnistautumisen lopussa tekstiviestin lähetetyn asiakkaan numeroon. Tekstiviesti ei tullut perille. Toisen pankin tekstiviesti tuli normaalisti puhelimeen, joten puhelimessa ei ole vikaa. Asiakas epäili viestien lähtevän samaan Galaxy-puhelimeen, johon pankin sovellus oli asennettu. Jokin vika pankissa ainakin tuolloin oli, vaikka pankki ilmoitti järjestelmiensä toimivan normaalisti. Tämä osoittaa, että pankin järjestelmissä on jokin tietoturva-aukko, jota on käytetty hyväksi ja viety rahat tililtä. Tämän jälkeen asiakas sulki poliisin kehotuksesta omat pankin verkkotunnukset.

Pankki ei vastauksessaan mainitse mitään asiakkaan epäilyistä pankin järjestelmien haavoittuvuudesta, törkeän huolimattomuuden ja tavallisen huolimattomuuden erosta tai siitä, miten pankin järjestelmien olisi pitänyt pystyä pysäyttämään täysin poikkeukselliset 19 peräkkäistä 900 euron tilisiirtoa klo 2 yöllä. Pankki reagoi sulkemalla tilin tuvallisuussyistä vasta aamulla, kun se oli lähes tyhjennetty. Jos lainsäädäntö ei edellytä täysin poikkeuksellisten maksujen varmistamista, pitäisi pankin omien toimien estää tällaiset tapahtumat asiakkaiden varojen suojaamiseksi. Viimeistään toisen siirron jälkeen siirrot olisi turvallisuussyistä pitänyt pysäyttää.

Törkeä huolimattomuus on lainsäädännössä katsottu olevan lähellä tahallisuutta. Tällöin asianosaisen tulee ymmärtää riski, joka omaan toimintaan liittyy. Käydessään päivityssivulla asiakkaan mielessä ei herännyt pienintä epäilyä, että olisi toiminut huolimattomasti, siksi ei myöskään muistanut epäilyttävällä sivulla vierailua.

Pankki sanoo järjestelmien olleen tapahtumahetkellä sääntelyn edellyttämällä tasolla ja toimineen normaalisti. Jokin puute siellä on, kun pankin mobiilisovellus on voitu ladata vieraaseen Galaxy-puhelimeen ennen kuin asiakas on edes avannut sovelluksen lataamiseen tarvittavaa koodia omassa iPhonessaan.

Pankki väittää väitettään perustelematta, että asiakas olisi luovuttanut pankin mobiilisovelluksen lataamiseen tarvittavan vahvistuskoodin rikollisten haltuun syöttämällä verkkopankkitunnukset huijaussivustolle. Tämä ei pidä paikkaansa. Pankin järjestelmissä on mahdollisesti jokin haavoittuvuus, jota rikolliset ovat voineet käyttää tunnusten ja koodien saamiseen.

Puhelimen luvaton käyttö on myös mahdotonta, koska se on aina asiakkaan taskussa lukuun ottamatta öisiä lataamisia kotona. Lisäksi puhelin lukittuu n. minuutin käyttämättömyyden jälkeen, eikä avauskoodia ole kirjoitettuna missään.

Lopuksi asiakas haluaa todeta, että pankin turvallisuus olisi ollut parempi, jos jo sisään kirjautumisvaiheessa olisi pitänyt antaa käyttäjätunnuksen ja salasanan lisäksi tunnusluku ja tekstiviestivahvistus, kuten pankki B:ssä. Tällöin rikolliset eivät olisi voineet katsoa tilien saldoja pelkkien käyttäjätunnuksen ja salasanan avulla.

Pankin vastine

Pankki on pahoillaan tapahtuneesta, mutta pankin päätöksen mukaan tapahtumat jäävät asiakkaan vastuulle.

Pankki on tarkistanut taustajärjestelmistä tapahtumien tekniset tiedot. Pankin järjestelmät ovat toimineet tapahtumahetkellä normaalisti ja ne ovat lain edellyttämällä tasolla.

Kaikki reklamoidut tapahtumat on vahvistettu pankin mobiilisovelluksella, joka on ladattu laitteelle Galaxy A30s 11.12.2024 klo 09.50. Asiakas kertoo, ettei itse käytä pankin mobiilisovellusta.

Sovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja koodi tunnuslukutaulukosta sekä tekstiviestillä lähetetty vahvistuskoodi. Tunnuslukutaulukko, jota sovelluksen käyttöönotossa on käytetty, on vain asiakkaan hallussa. Pankilla ei ole tunnuslukutaulukoita tai niiden sisältämiä tunnuksia, jotka sivullinen voisi saada haltuunsa.

Pankki on lähettänyt sovelluksen käyttöönottoon tarvittavan vahvistuskoodin asiakkaalle tekstiviestillä hänen numeroonsa 11.12.2024 kello 09:49. Pankki käyttää Elisa dialogi -palvelua, jonka kautta voi lähettää tekstiviestejä. Elisa dialogin mukaan viesti on lähetetty onnistuneesti asiakkaan puhelinnumeroon. Asiakas kiistää luovuttaneensa pankin tekstiviestillä lähettämää vahvistuskoodia kenellekään tai millekään sivustolle. Kyseinen puhelinnumero on liitetty asiakkaan verkkopankkitunnuksiin 8.7.2024 asiakaspalvelupisteellä.

Pankki on sulkenut asiakkaan verkkopankkitunnukset 12.12.2024 klo 07:17. Kaikki reklamoidut tapahtumat on tehty aikavälillä 12.12.2024 klo 02:00-02:41 ennen verkkopankkitunnusten sulkua.

Pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset ja tekstiviestillä lähetetty vahvistuskoodi. Asiakas kiistää kuitenkin antaneensa tunnuksiaan tai puhelinnumeroonsa lähetettyä vahvistuskoodia minnekään.

Tapahtuneessa jää olennaisilta osin epäselväksi, miten pankin mobiilisovelluksen lataamiseen tarvitut asiakkaan henkilökohtaiset verkkopankkitunnukset ja tekstiviestillä lähetetty vahvistuskoodi ovat päätyneet ulkopuolisen haltuun.

Pankki pahoittelee tapahtunutta, mutta kokonaisuus huomioon ottaen katsoo tapahtumien jäävän asiakkaan vastuulle. Pankki katsoo, että jos asiakas ei ole itse hyväksynyt reklamoituja tapahtumia, pankki ei pidä mitään muuta mahdollisena kuin että asiakas on luovuttanut verkkopankkitunnuksensa ja tekstiviestillä saamansa vahvistuskoodin ulkopuoliselle tai on säilyttänyt tunnuksiaan ja puhelintaan, johon tekstiviestivahvistus on lähetetty, niin huolimattomasti, että ulkopuolinen on saanut ne haltuunsa asiakkaan huomaamatta. Näin ollen pankki katsoo, että asiakkaan toiminta on ollut törkeän huolimatonta maksupalvelulaissa tarkoitetulla tavalla.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- asiakkaan saama rikollisten pankin nimissä 29.1.2025 klo 7.25 lähettämä sähköposti

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Tunnistaminen [pankin] tunnistusvälineillä -kohdan mukaan
Tunnistusperiaatteemme ovat saatavilla verkkosivuillamme osoitteessa [pankki].fi ja asiakaspalvelupisteillämme.
Tunnistusvälineillämme voit tunnistautua myös kolmannen osapuolen palvelussa siten kuin tunnistuslaissa säädetään.
[…]

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Asian arviointi

Tapahtumienkulku

Pankki on tapauksessa esittänyt selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jota käyttäen ko. tilisiirrot on tehty. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo tapauksessa saadun kokonaisselvityksen perusteella, että asiakas on päätynyt rikollisten pankin nimissä lähettämässä sähköpostissa olleen linkin kautta rikollisten luomille pankin verkkosivuilta näyttäville valesivuille, joilla hän on käyttänyt verkkopankkitunnuksiaan kirjautumistarkoituksessa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen käyttöönoton omalle laitteelleen. Tämän johdosta pankki on lähettänyt 11.12.2024 kello 09:49 asiakkaalle mobiilisovelluksensa aktivoinnin edellyttämän vahvistuskoodin sisältäneen tekstiviestin.

Pankkilautakunta katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että asiakas on - asian kiistämisestään huolimatta - syöttänyt myös tekstiviestitse saamansa koodin em. valesivuille. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen ja sovellusta käyttäen tehdä ko. oikeudettomat tilisiirrot.

Asiakkaan menettelyn arviointi

Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan sähköpostissa olleen linkin kautta avautuneilla sivuilla.

Pankkilautakunnalle ei ole toimitettu asiakkaan saamaa rikollisten pankin nimissä hänelle lähettämää sähköpostia, jossa olleen linkin kautta hän on asioinut, mutta lautakunta pitää todennäköisenä, että viesti on vastannut asiakkaan lautakunnalle toimittamaa ja hänen myöhemmin 29.1.2025 vastaanottamaa rikollisten pankin nimissä lähettämää sähköpostia, jossa asiakasta pyydetään päivittämään tietojaan. Pankkilautakunta katsoo, ettei asiakkaan voida sähköpostin sisällön perusteella edellyttää ymmärtäneen, ettei viesti ollut pankin lähettämä. Pankkilautakunta kiinnittää tässä huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin - ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat - lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä viestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttaa siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan sähköpostin ja viestissä olevan linkin asianmukaisuutta. Myös pankkien asiakkailleen esittämät pyynnöt asiakastietojen päivittämisestä ovat hyvin tavanomaisia.

Ottaen lisäksi huomioon, että sähköpostissa olleesta linkistä on todennäköisesti avautunut aidoilta pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa koodi syöttämättä verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi viestissä olleen kehotuksen mukaisesti ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä esimerkiksi siten, ettei huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään.

Pankkilautakunta katsoo, että pankin asiakkaalle lähettämä em. tekstiviesti poikkeaa olennaisella tavalla tavanomaisesta verkkopankkiin kirjautumista tai tunnistautumista koskevasta vahvistusviestistä ja viestissä kerrotaan asianmukaisesti, mihin viestissä ollutta vahvistuskoodia käytetään ja mihin se tulee syöttää, varoitetaan isoin kirjaimin huijaussivustoista ja antamasta koodia millekään verkkosivuille - jollaisilla asiakas on tapauksessa asioinut -, ja kehotetaan ottamaan yhteyttä pankkiin, jos epäilee huijausta.

Asiassa saadun selvityksen perusteella ja erityisesti pankin lähettämän pankin mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin sisältö huomioiden Pankkilautakunta katsoo asiakkaan syöttäneen pankin tekstiviestitse lähettämän koodin verkkosivuille mahdollisesti lukematta viestin sisältöä tai ainakin sen sisältöä menettelyssään huomioimatta ja asiakkaan menettelyn tämän johdosta osoittavan hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta ja asiakkaan siten vastaavan täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Pankin menettelystä

Asiakas on tapauksessa esittänyt epäilyksensä pankin järjestelmien haavoittuvuudesta ja on vedonnut siihen, että pankin järjestelmien olisi pitänyt tullut reagoida täysin poikkeuksellisiin maksutapahtumiin ja estää ne.

Maksupalvelusääntelyn perusteella pankeilla on oltava käytössään maksutapahtumien valvontamekanismit, joiden avulla ne voivat havaita oikeudettomat ja petolliset maksutapahtumat. Pankkilautakunta katsoo vakiintuneen ratkaisukäytäntönsä mukaisesti, ettei tällä velvollisuudella kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen petollisen käytön osalta, eikä pankki siten ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa yksinomaan sillä perusteella, ettei se ole estänyt petollisiksi osoittautuneita maksuja.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Atrila
Piilo
Makkonen
Punakivi

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä