Tapahtumatiedot
Asiakas on saanut 18.7.2024 rikollisten pankin nimissä tekemän puhelun. Soittajan mukaan asiakkaan nimissä tehtyjä lainahakemuksia piti perua.
Asiakkaan verkkopankissa on tehty 18.7.2024 klo 14.56 asiakkaan ja tämän aviopuolison yhteiseltä säästötililtä 51.700,00 euroa tilisiirto asiakkaan käyttötilille. Tämän siirron yhteydessä pankki ei ole edellyttänyt maksajan vahvaa tunnistamista. Tämän jälkeen klo 15.10-16.12 välisenä aikana asiakkaan käyttötililtä on tehty ulkopuolisille yhdeksän tilisiirtoa yhteisarvoltaan 45.145,00 euroa. Ulkopuolisille lähteneet maksut on vahvistettu asiakkaan verkkopankissa pankin asiakkaalle lähettämissä ruotsinkielisissä tekstiviesteissä mainittuja järjestysnumeroja vastaavilla avainluvuilla asiakkaan avainlukulistalta. Asiakas on antanut em. avainluvut puhelimessa pankin nimissä soittaneella henkilölle.
Pankki on lukinnut asiakkaan pankkitunnukset turvallisuussyistä 18.7.2024 klo 16.31.
Asiakkaan valitus
Asiakas vaatii törkeällä rikoksella ryöstettyjen rahojen palautusta. Huijaus pankin nimissä tapahtui aivan liian helposti, turvajärjestelmä reagoi liian hitaasti täysin epänormaaliin tilitoimintaan eikä asioita saatu riittävän nopeasti vietyä eteenpäin, vaan jouduttiin odottamaan viikonlopun yli ennen kuin asioita päästiin virkailijan avulla selvittelemään.
Taustaa
Puolison kanssa yhteinen tuottotili avattiin 13.4.2023 ja sille siirrettiin 50.000 euroa. Tili oli eräänlainen "jemmatili", jota ei ajateltukaan jokapäiväiseen käyttöön. Seuraava mainittava yhteys pankkiin oli puhelimitse asiakkaan tilaama toimeksianto kiinteistökaupasta pankin lakiasiainosastolta lasten keskeisen kaupan osalta. Sähköinen allekirjoitus toimeksiannosta on päivätty 10.7.2024 klo 19.31. Neuvottelu osapuolten kesken käytiin pankissa 18.7.2024. Kaupan osapuolet allekirjoittivat kauppakirjan pankin toimistolla 9.8.2024.
Samana päivänä 18.7. kun toimeksiantoa käsiteltiin, asiakas sai iltapäivällä puhelun, jonka seurauksena tiliin kohdistuneet tapahtumat etenivät. Tämä lienee puhdas sattuma, sillä asiakas itse oli tuolloin kesäasunnollaan. Puhelussa sanottiin, että on ilmennyt huijausyrityksiä lainan saamiseen ja lainahakemukset olivat tulossa jostain pankin Ruotsin konttorista. Meneillään olisi ilmeisesti huijaus, jossa asiakkaan nimissä oltiin tekemässä lainoja, ja kysyttiin, että oliko asiakkaalla lainahakemuksia vireillä. Sanottiin myös, että on paljon tällaisia 5.000 euron lainahakemuksia, mutta niitä ei ole vielä laitettu maksuun ja että niille voidaan vielä tehdä peruutukset. Sitä varten asiakkaan tuli vahvistaa tunnuslukukortillaan ruotsinkieliset vahvistuspyynnöt, jotka tulisivat välittömästi. Henkilö sanoi olevansa pankin turvallisuuspalvelusta ja olevansa tietoinen asiakkaan kahdesta tilistä. Puhelu kesti kauan ja aina välillä tuli uusi tekstiviesti, jossa pyydettiin ruotsin kielellä vahvistamista ja asiakas kertoi kysyttäessä vahvistuskoodin pankin tunnuslukulistalta. Tällä samalla tavalla tapahtui monta kertaa ja aina vahvistuksen jälkeen sanottiin, että nyt tämä lainahakemus on peruttu ja sitten sama uudestaan. Aina ennen vahvistusviestin tulemista puhelussa asiakkaalle kerrottiin, että kohta tulee sellainen ja sellainen viesti. Jossain vaiheessa sitten ei vahvistus mennytkään läpi ja puhelu vain katkesi.
Seuraavaksi asiakas sai pankilta viestin, että tili on toistaiseksi suljettu ja sen avaamiseksi on käytävä pankin konttorissa. Ilmeisesti pankissa oli herätty ja ennen viimeisen erän "hyväksymistä" suljettu tili.
Asiakas ei vielä osannut olla huolissaan ja päätti mennä heti seuraavana aamuna, perjantaina, konttoriin selvittämään asiaa, mutta paikalle saapuessa hän totesi konttorin olevan kiinni. Asiakas yritti pankin neuvontaan soittamalla päästä eteenpäin, mutta sai vain varatuksi ajan maanantaiksi klo 12.15. Tuolloin selvisi, että tili oli tyhjennetty torstaina ja 45.145 euroa oli ensin siirretty kasvutuottotililtä käyttötilille ja sieltä noin 5.000 euron erissä tuntemattomille tileille. Viimeinen kaappauserä pelastui ja asiakas siirsi sen välittömästi vaimonsa tilille. Asiakas teki rikosilmoituksen.
Yhteenveto
Tapahtunut kaappaus oli shokki ja itsesyytösten lisäksi on mietityttänyt pankin osuus tapahtuman kulussa. Kyseinen puhelu kesti pitkään ja koko ajan kyseessä oli sama sujuvasti pankin edustajaksi esiintynyt mies, joka jostain syystä oli päässyt selville asiakkaan pankista ja tileistä rahoineen. Se, miksi asiakas oli valikoitunut ryöstön kohteeksi, on täysi mysteeri. Asiakas epäili jopa aluksi em. toimeksiannon sähköistä allekirjoitusta, sillä käytti sitä varten kirjautuessaan pankin pankkitunnuksia, joita ei muutoin ole tunnistautumiseen käyttänyt. Asiakas mietti, oliko tehnyt jotain väärin, kun avasi sähköpostitse saamansa linkin sopimuksen kopioimiseksi.
Asiakas ei pidä pankin toimintaa tapahtuneessa ryöstössä riittävän vastuullisena ja vaatii pankkia osallistumaan rahojen palauttamiseen tililleen. Poliisi on omalta osaltaan toiminut ripeästi mutta korostanut, että mitä nopeammin talousrikoksesta saadaan tieto, sitä nopeammin voidaan tekijäin jäljille päästä. Asiakkaalla ei ollut keinoa saada pankista tietoja ennen maanantaina puolta päivää.
Pankin vastauksesta käy ilmi, että tilille oli tehty useampi epäonnistunut kirjautumisyritys ennen kuin tilille lopulta päästiin kirjautumaan. Näistä kirjautumisyrityksistä ei missään vaiheessa tullut pankin taholta minkäänlaista viestiä, mitä asiakas ihmettelee. Miten kirjautuminen lopulta onnistui, on arvoitus. Lisäksi ihmetyttää rikollisten tekemien sisäisten tilinsiirtojen onnistuminen ilman vahvistusta, kyseessä on puolisoiden yhteinen tili. Asiakas ei rahansiirtoja tehnyt, hän ei ollut kirjautuneena verkkopankkiin koko puhelun aikana.
Miten on mahdollista, että näinkin useat ja suuret siirtosummat onnistuvat kerta toisensa jälkeen ennen kuin pankin puolelta reagoidaan asiaan. Pankin turvajärjestelmä reagoi vasta kun jo noin 95 % tilistä oli imuroitu tyhjäksi useilla, täysin normaalista maksuliikenteestä poikkeavilla maksutapahtumilla. Kyseessä oli säästötili, ns. "jemmatili", josta ei normaalisti tehty mitään nostoja, siirtoja tms. Lisäksi ihmetyttää, miten rahat oli ylipäätänsä saatu siirrettyä säästötililtä käyttötilille ennen tililtä alkavaa rahojen ryöstöä. Kuinka rikolliset olivat tietoisia tileistä ja miten he olivat saaneet siirrettyä rahat valmiiksi toiselle tilille ennen rikoksen tekemisen alkamista ja yhteydenottoa asiakkaaseen? Pankin viimein reagoidessa täysin poikkeavaan rahaliikenteeseen lukitsemalla tilin tili oli jo melkein kokonaan tyhjennetty. Pankin konttori oli suljettuna perjantaina ja aika virkailijalle saatiin vasta maanantaille, mikä viivästytti pahasti asioiden selvittelyä ja antoi rikollisille lisäaikaa toimia.
Pankin vastine
Tapaukseen liittyvät yksityiskohdat ja kokonaisarviointi huomioon ottaen, pankki katsoo, että asiakas on antanut maksuille maksupalvelulain mukaisen suostumuksen eikä kysymys ole siten oikeudettomista maksutapahtumista. Toissijaisesti, tapaukseen liittyvät yksityiskohdat ja kokonaisarviointi huomioon ottaen, pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti.
Selvitys tapahtumasta
Pankin selvityksen mukaan tapahtumien tekijällä on täytynyt olla hallussaan asiakkaan pankkitunnusten kaikki osat, eli käyttäjätunnus, salasana sekä asiakkaalta erikseen tekstiviesteillä pyydetyt avainlukulistan numerot, jotka olivat asiakkaalla fyysisesti käytössä. Tapahtumat on siis vahvistettu fyysisellä avainlukulistalla ja asiakas on avainluvut kertonut soittajalle.
Asiakkaan selvityksessään antama/poliisin tietojen mukainen kellonaika saapuneelle puhelulle klo 16.13 ei ole yhteneväinen vahvistustapahtumien kellonaikojen kanssa. Asiakkaan [pankki].fi palveluun on tehty klo 14.46 alkaen useampi kirjautumisyritys ja klo 14.48 ja klo 15.02 on avainlukulistalla vahvistettu kirjautuminen [pankki].fi:hin. Ennen ensimmäistä onnistunutta maksua on ollut kolme yritystä, jotka on ohjattu lisävahvistukseen, mutta niitä ei ole vahvistettu.
Ei ole mitenkään tavatonta, että asiakkailla on "aikakatkaistuja" kirjautumisia. Tässä tapauksessa niitä oli kaksi (kursivoituja) vahvistustapahtumien mukaan:
14.46 kirjautuminen vanhentunut (avainlukua ei syötetty ajoissa)
14.48 kirjautuminen onnistunut avainluvulla
15.00 kirjautuminen vanhentunut (avainlukua ei syötetty ajoissa)
15.02 kirjautuminen onnistunut avainluvulla
Asiakas esittää, että olisi arvoitus miten kirjautuminen lopulta onnistui. Se onnistui koska asiakas oli luovuttanut kaikki pankkitunnusten osat ulkopuolisella sekä kertonut avainluvut, joilla jokainen yhdeksän ulkopuoliselle menevää maksua on vahvistettu.
Asiakkaan ja vaimonsa yhteiseltä tuottotililtä on 18.7.2024 siirretty asiakkaan käyttötilille 51.700,00 euroa klo 14.56.30, yli tuntia aikaisemmin ennen asiakkaan ilmoittamaa puhelua klo 16.13. Kyseinen omien tilien välinen siirto on tehty [pankki].fi-palvelussa, jonne kirjautuessa vaaditaan asiakkaan käyttäjätunnus, salasana sekä avainlukulistan numero. Omien tilien välisestä siirrosta ei ole lähtenyt erikseen asiakkaalle lisävahvistusviestiä.
Tilisiirrot ulkopuolisille on tehty seuraavin tiedoin käyttötililtä:
18.07.2024 15:10
Summa 5000,00 euroa
Saajan nimi X
Saajan tili FIxx xxxx xxxx xxxx xx
18.07.2024 15:13
Summa 5595,00 euroa
Saajan nimi B
Saajan tili FIxx xxxx xxxx xxxx xx
18.07.2024 15:20
Summa 5000,00 euroa
Saajan nimi Y
Saajan tili FIxx xxxx xxxx xxxx xx
18.07.2024 15:30
Summa 5550,00 euroa
Saajan nimi E
Saajan tili FIxx xxxx xxxx xxxx xx
18.07.2024 15:34
Summa 5000,00 euroa
Saajan nimi Y
Saajan tili FIxx xxxx xxxx xxxx xx
18.07.2024 15:48
Summa 5000,00 euroa
Saajan nimi Z
Saajan tili FIxx xxxx xxxx xxxx xx
18.07.2024 15:55
Summa 4000,00 euroa
Saajan nimi D
Saajan tili FIxx xxxx xxxx xxxx xx
18.07.2024 15:59
Summa 5000,00 euroa
Saajan nimi Z
Saajan tili FIxx xxxx xxxx xxxx xx
18.07.2024 16:14
Summa 5000,00 euroa
Saajan nimi C
Saajan tili FIxx xxxx xxxx xxxx xx
Asiakkaan tunnuksiin liitettyyn puhelinnumeroon on lähetetty pankin toimesta turvallisuussyistä seuraavanlaiset tekstiviestit:
18.7.2024 klo 15.06.43
Du vill i vår tjänst betala 1. betalningar för totalt 5 000,00 EUR. Kontrollera och bekräfta betalningarna med det 221 talet på nyckeltalslistan. [pankki]
18.7.2024 klo 15.11.45
Du vill i vår tjänst betala 1. betalningar för totalt 5 595,00 EUR. Kontrollera och bekräfta betalningarna med det 187 talet på nyckeltalslistan. [pankki]
18.7.2024 klo 15.18.32
Du vill i vår tjänst betala 1. betalningar för totalt 5 000,00 EUR. Kontrollera och bekräfta betalningarna med det 98 talet på nyckeltalslistan. [pankki]
18.7.2024 klo 15.28.23
Du vill i vår tjänst betala 1. betalningar för totalt 5 550,00 EUR. Kontrollera och bekräfta betalningarna med det 244 talet på nyckeltalslistan. [pankki]
18.7.2024 klo 15.33.00
Du vill i vår tjänst betala 1. betalningar för totalt 5 000,00 EUR. Kontrollera och bekräfta betalningarna med det 216 talet på nyckeltalslistan. [pankki]
18.7.2024 klo 15.46.03
Du vill i vår tjänst betala 1. betalningar för totalt 5 000,00 EUR. Kontrollera och bekräfta betalningarna med det 9 talet på nyckeltalslistan. [pankki]
18.7.2024 klo 15.53.27
Du vill i vår tjänst betala 1. betalningar för totalt 4 000,00 EUR. Kontrollera och bekräfta betalningarna med det 154 talet på nyckeltalslistan. [pankki]
18.7.2024 klo 15.57.04
Du vill i vår tjänst betala 1 betalningar för totalt 5 000,00 EUR. Kontrollera och bekräfta betalningarna med det 106 talet på nyckeltalslistan. [pankki]
18.7.2024 klo 16.12.21
Du vill i vår tjänst betala 1 betalningar för totalt 5 000,00 EUR. Kontrollera och bekräfta betalningarna med det 215 talet på nyckeltalslistan. [pankki]
Asian arviointi
Kyseessä on maksupalvelulain mukainen suostumus maksutapahtumille
Asiakas on itse hyväksynyt tililtään tehdyt siirrot ja antanut näin maksupalvelulain 38 §:n mukaisen suostumuksen maksutapahtumien toteuttamiselle. Maksut on vahvistettu tunnuksiin liitettyyn puhelinnumeroon lähetetyissä tekstiviesteissä pyydetyillä asiakkaan hallussa olevan avainlukulistan numeroilla. Pankki ei ole asiassa toiminut petollisesti, ja suostumus pankille on annettu lain ja pankin sopimusehtojen mukaisesti, joten pankki on toteuttanut maksut suostumuksen mukaisesti.
Maksujen vahvistusviestit ovat sisältäneet tiedot maksujen määristä. Viesteissä on selkeästi kerrottu, että ollaan maksamassa kyseisiä suorituksia. Maksujen tekijällä on ollut tiedossaan asiakkaan puhelimeen tullut vaadittava avainluku kaikkien tehtyihin maksuihin. Luovuttamalla avainluvut ulkopuoliselle, asiakas on itse hyväksynyt tililtä tehdyt siirrot ja antanut näin maksupalvelulain 38 §:n mukaisen suostumuksen maksutapahtumien toteuttamiselle.
Toissijaisesti on kyseessä törkeä huolimattomuus
Asiakas vastaa pankkitunnuksen oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos oikeudeton käyttö johtuu siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankin tunnus- ja digisopimuksen mukaisia velvollisuuksiaan, ja asiakkaan huolimattomuuden katsotaan olevan törkeää. Asiakas vastaa pankkitunnusten huolellisesta säilyttämisestä, koska viime kädessä ainoastaan maksuvälineenhaltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän maksuvälinettään säilyttänyt tai käyttänyt.
Pankki on useaan otteeseen varoittaneet asiakkaitaan erilaisista tietojenkalastelusta ja huijauksista. Pankki katso, että yleisen tietämyksen ja pankin antamien varoitusten perusteella asiakkaan tulisi olla tietoinen tunnusten turvallisesta ja huolellisesta käytöstä ja säilyttämisestä. Pankki on korostanut sitä, ettei pankki tai poliisi kysy tunnuksia puhelimessa, vaan näin toimii ainoastaan rikollinen.
Tässä tapauksessa asiakas on luovuttanut kaikki pankkitunnusten osat ulkopuolisella sekä kertonut avainluvut, joilla jokainen ulkopuoliselle menevä maksu on vahvistettu. Pankista lähetetyt tekstiviestit ovat vielä olleet ruotsinkielisiä, sillä ulkopuolinen on kirjautunut ruotsinkieliselle [pankki].fi-sivustolle. Viestit ovat sisältäneet tiedon, että kyseessä on maksu, maksun määrä ja kehotus tarkastaa maksu. Asiakkaan olisi tullut reagoida ja olla hyväksymättä tapahtumia, kun hän huomasi, että viestien kieli ei ollut sama kuin hänen normaali asiointikielensä, eikä hänen ollut tarkoitus tehdä viesteissä ilmoitettuja maksuja. Mikäli asiakas ei ole ymmärtänyt viestien sisältö, asiakkaan olisi tullut pidättyä tapahtumien vahvistamisesta.
Maksutoimeksiannot on tehty ja vahvistettu maksupalvelulain mukaisesti. Maksutoimeksianto on sen vahvistamisen jälkeen peruuttamaton ja kaikki maksujärjestelmän osapuolet voivat luottaa siihen, että varat siirtyvät sovitun mukaisesti. Maksun sitovuudesta säädetään maksupalvelulain 81 §:ssä. Jälkikäteisten maksunpalautuspyyntöjen onnistumista ei voida taata missään olosuhteissa, koska palautus ei ole enää maksajan pankin vaikutuspiirissä. Kyseiset tilisiirrot on toteutettu suostumuksen mukaisesta ja vahinko on aiheutunut kokonaisuudessaan 18.7.2024.
Vastuu maksuvälineen oikeudettomasta käytöstä jakautuu asiakkaan ja pankin välillä maksupalvelulain mukaisesti asiakkaan huolellisuuden perusteella. Vahinko on syntynyt sen seurauksena, että asiakas on puhelimessa ehtojen ja pankin ohjeistuksen vastaisesti luovuttanut pankkitunnuksensa kaikki osat ulkopuoliselle ja asiakas on tämän lisäksi luovuttanut yhdeksän kertaa maksun vahvistamiseksi tarvittavan avainluvun paperisesta avainlukulistastaan.
Maksupalvelulain mukaisesti, olennaista on asiakkaan oma toiminta; suostumuksen antaminen tai törkeä huolimattomuus johtavat siihen, että vastuu reklamoiduista maksuista on asiakkaalla. Tämän vuoksi pankki katsoo, etteivät reklamoidu tapahtumat ole maksupalvelulain mukaisesti oikeudettomia, eikä pankki näin ollen ole vastuussa aiheutuneesta vahingosta. Siirrot tililtä toiselle on suoritettu asiakkaan omalta tililtä ja nämä varat on siirretty ulkopuoliselle vahvasti sähköisesti tunnistautuneena. Molemmat tilit ovat olleet asiakkaan omia, eikä vahvan tunnistamisen puuttuminen sisäisessä siirrossa ole aiheuttanut asiakkaalle lisävahinkoa, koska kysymys on ollut asiakkaan omista varoista. Jos FINE antaa sille merkityksen, että tili on ollut asiakkaan ja hänen vaimonsa yhteinen tili, ja sen takia vahvan tunnistamisen puute on vaikuttanut vahingon kokonaismäärään, niin pankki viittaa Lakiin eräistä yhteisomistussuhteista, 2§: "Kunkin yhteisomistajan on katsottava omistavan määräosuuden yhteisestä esineestä. Osuudet ovat, jollei muuta ilmene, samansuuruiset."
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Tutkintailmoitus (Ilmoitusaika 23.7.2024)
- Kuulustelupöytäkirja (Asianomistaja)
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. maksutapahtumalle vai onko maksutapahtumaa pidettävä oikeudettomana. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on. Edelleen lautakunnan on arvioitava, vaikuttaako asiakkaan ja pankin välisen vastuunjakoon se, että pankki ei ole edellyttänyt vahvaa tunnistamista verkkopankin sisäisen tilisiirron yhteydessä.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 8 §:n (Määritelmät.) mukaan
Tässä laissa tarkoitetaan:
[…]
24) vahvalla tunnistamisella maksupalvelun käyttäjän sähköistä tunnistamista, jossa suojataan tunnistamistiedon luottamuksellisuutta ja käytetään menettelyä, joka perustuu vähintään kahteen seuraavista kolmesta toisistaan riippumattomasta vaihtoehdosta:
a) johonkin, mitä vain maksupalvelun käyttäjä tietää;
b) johonkin, mitä vain maksupalvelun käyttäjällä on hallussaan;
c) maksupalvelun käyttäjän yksilöivään ominaisuuteen;
[…]
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Maksupalvelulain 85 c §:n (Tunnistaminen) 1 momentin mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1) käyttää maksutiliään tietoverkon välityksellä;
2) käynnistää sähköisen maksutapahtuman;
3) toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
Jos maksaja käynnistää sähköisen maksutapahtuman etäviestimellä, palveluntarjoajan on käytettävä vahvaa tunnistamista, johon yhdistetään maksutapahtuman määrä ja maksunsaaja maksupalveluista sisämarkkinoilla, direktiivien 2002/65, EY, 2009/110/EY ja 2013/36/EU ja asetuksen (EU) N:o 1093/2010 muuttamisesta sekä direktiivin 2007/64/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366, jäljempänä maksupalveludirektiivi, 97 artiklan 2 kohdassa tarkoitetulla tavalla.
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
Edellä 1 ja 2 momentissa tarkoitetun vahvan tunnistamisen sekä 3 momentissa tarkoitettujen turvatoimenpiteiden on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa.
Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.
Pankin tunnus- ja digisopimuksen ehtojen (jäljempänä pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Tunnusten säilyttämistä ja sallitun käytön rajoitukset -kohdan mukaan
Henkilöasiakkaalle luovutetut Tunnukset ovat henkilökohtaiset. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos asiakas antaa Tunnuksensa kolmannelle, asiakas vastaa kolmannen hänen nimissään tekemistä toimista.
[…]
Tunnuksia tai osaa niistä ei koskaan saa:
- kertoa suullisesti niitä puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessaan [pankin] puhelinpalveluun asiakas näppäilee Tunnukset puhelimeen. Palveluntarjoaja tai muut [pankkiryhmän] yritykset eivät koskaan soita asiakkaalle ja pyydä kertomaan tai näppäilemään Tunnuksia;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille;
- käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissivulle on lähetetty Asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.
Käyttäjätunnuksen ja salasanan sisältävä kalvo on hävitettävä eikä käyttäjätunnusta tai salasanaa saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon. Jos Tunnukset on luovutettu sähköisesti, Asiakkaan tulee itse suojata tunnukset ja varmistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisille ja että tiedot eivät jää ulkopuolisten saataville.
Tunnuksia on säilytettävä huolellisesti ja erillään toisistaan siten, ettei kenelläkään, ei edes samaan perheeseen kuuluvalla tai niiden käyttöön oikeudettomalla yrityksen työntekijällä ole mahdollisuutta saada niitä tietoonsa. Tunnusten osia ei saa säilyttää samassa säilytyspaikassa kotona, eikä esimerkiksi lompakossa tai käsilaukussa.
Asiakkaan on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että Tunnukset ovat tallessa.
Asiakkaan on [pankki]-verkkopalveluihin kirjautuessaan suojattava laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla Tunnuksia käytetään siten, ettei kenelläkään ole mahdollisuutta saada Tunnuksia tietoonsa
[…]
Pankin tunnus- ja digisopimusehtojen Ilmoitus Tunnusten katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan
Asiakkaan on välittömästi ilmoitettava Palveluntarjoajalle Tunnusten katoamisesta tai niiden joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka jos asiakas epäilee niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun.
[…]
Asian arviointi
Tapahtumienkulku
Pankkilautakunta katsoo tapauksessa selvitetyksi, että asiakas on tullut puhelimessa rikollisten harhaan johtamaksi ja luullessaan asioivansa pankkinsa turvallisuusosaston kanssa hän on antanut puhelimessa suullisesti pankkitunnustietojaan, jotta soittajan mukaan hänen nimissään haettuja luottoja voitaisiin perua. Näin saatuja tietoja oikeudetta käyttäen rikolliset ovat kirjautuneet asiakkaan verkkopankkiin, tehneet siellä siirron asiakkaan ja tämän puolison yhteiseltä säästötililtä asiakkaan käyttötilille sekä luoneet maksutoimeksiannot asiakkaan käyttötililtä ulkopuolisille tehtävistä tilisiirroista ja vahvistaneet nämä maksut.
Asiakkaan suostumus maksutapahtuman toteuttamiselle
Vaikka asiakkaan vastaanottamissa pankin lähettämissä tekstiviesteissä on näkynyt ko. maksujen tiedot, ei asiakas kuitenkaan itse ole syöttänyt viesteissä mainittuja avainlukuja verkkopankissaan vaan on kertonut avainluvut puhelimessa pankin turvallisuusosaston työntekijäksi esiintyneelle henkilölle. Ko. tilisiirtoja koskevat toimeksiannot ovat luoneet ja vahvistukset niille antaneet edellä katsotuin tavoin asiakkaan verkkopankkiin omalla laitteellaan päässeet rikolliset, ja näin ollen Pankkilautakunta katsoo, ettei asiakas ole itse vahvistanut ko. tilisiirtoja eikä siten ole myöskään antanut maksupalvelulain 38 §:ssä tai pankkitunnusehdoissa tarkoitettua suostumustaan maksutoimeksiantojen toteuttamiselle. Näin ollen tilisiirtoja on pidettävä maksupalvelulaissa tarkoitetulla tavalla oikeudettomana.
Pankkitunnusten ja maksuvälineen luovuttaminen
Pankkilautakunta toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.
Tässä tapauksessa asiakas on asiointinsa ajan ja pankkitunnuksiaan kertoessaan luullut asioivansa pankkinsa kanssa ja näin ollen Pankkilautakunta katsoo, että asiakas ei ole tietoisesti luovuttanut pankkitunnustietojaan niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai pankkitunnusehdoissa tarkoitetusta tunnusten luovuttamisesta.
Näin ollen Pankkilautakunnan arvioitavaksi jää, vastaako asiakas pankkitunnustensa oikeudettomasta käytöstä maksupalvelulain 62 §:n 1 momentin 2) kohdan perusteella, ts. lautakunnan on arvioitava, johtuuko pankkitunnusten oikeudeton käyttö siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.
Asiakkaan menettelyn arviointi
Pankkitunnusehtojen mukaan tunnukset ovat henkilökohtaiset eikä niitä saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle. Ehtojen mukaan tunnuksia tai osaa niistä ei koskaan saa kertoa suullisesti niitä puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle ja soittaessaan pankin puhelinpalveluun asiakas näppäilee tunnukset puhelimeen. Palveluntarjoaja tai muut pankkiryhmän yritykset eivät koskaan soita asiakkaalle ja pyydä kertomaan tai näppäilemään tunnuksia.
Pankkilautakunta toteaa pankkitunnusehtojen yksiselitteisesti kieltävän tunnusten antamisen tai kertomisen suullisesti kenellekään, myöskään pankille. Edelleen lautakunta katsoo yleiseen tietämykseen tapahtuma-aikana jo kuuluneen, ettei henkilökohtaiseksi tarkoitettuja pankkitunnuksia tulisi koskaan luovuttaa tai suullisesti kertoa kenellekään, ei myöskään esimerkiksi pankin työntekijänä tai poliisina esiintyvälle taholle.
Pankkilautakunta katsookin asiakkaan huolimattomuudestaan ja vakavaa varomattomuutta osoittavalla tavalla laiminlyöneen maksupalvelulain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan kertoessaan puhelimessa pankkitunnustietojaan pankin työntekijänä esiintyneelle henkilölle.
Edelleen Pankkilautakunta katsoo, että saatuaan pankiltaan ensimmäisen maksun vahvistamista koskevan tekstiviestin asiakkaan olisi tullut ymmärtää olla kertomatta tekstiviestissä mainittua järjestysnumeroa vastaavaa avainlukua avainlukulistaltaan. Ottaen huomioon, että asiakkaan pankilta saama tekstiviesti on ollut tavanomainen pankin lähettämä maksun vahvistamista koskeva viesti, joka alkaa maksamista koskevin sanoin ”Du vill i vår tjänst betala..”, lautakunta katsoo, että vaikka puhelimessa olisi suullisesti esitetty kyseistä avainlukua edellytettävän asiakkaan nimissä haetun luoton perumiseen, asiakkaan olisi viimeistään tuossa vaiheessa tullut ymmärtää keskeyttää asiointinsa ja jättää pyydetty avainluku kertomatta soittajalle. Mikäli asiakas olisi viimeistään tuossa vaiheessa esimerkiksi itse soittamalla ottanut yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Pankkilautakunta on ratkaisukäytännössään jo vakiintuneesti katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit.
Nyt arvioitavassa tapauksessa pankki on lähettänyt maksunvahvistamista koskevat tekstiviestit ruotsinkielisinä, koska rikolliset ovat kirjautuneet asiakkaan verkkopankkitunnuksin pankin ruotsinkielisellä sivustolla. Asiakas ei ole tapauksessa nimenomaisesti kertonut, onko hän lukenut pankilta saamansa tekstiviestit, eikä toisaalta ole vedonnut siihen, että tekstiviestien ruotsinkielisyys olisi jollain tavalla vaikuttanut siihen, miten hän on tekstiviestit ymmärtänyt ja tilanteessa toiminut.
Pankkilautakunta toteaa joka tapauksessa, että sovitusta ja tavanomaisesti käytetystä asiointikielestä poikkeavalla kielellä tulleiden viestien osalta lautakunta on ratkaisukäytännössään (kuten FINE-057082, annettu 6.6.2024) katsonut, että mikäli asiakas ei kielimuurin vuoksi ymmärrä tai voi olla varma, mihin pankin tekstiviestitse toimittama koodi on tarkoitettu, tulisi hänen huolellisesti toimiessaan keskeyttää asiointinsa ja olla esimerkiksi yhteydessä pankkiinsa varmistuakseen menettelyn tarkoituksesta ja asianmukaisuudesta. Pankkilautakunta katsoo, että myös tässä tapauksessa asiakkaan olisi mahdollisesta kielimuurista huolimatta ja myös siitä johtuen tullut ymmärtää keskeyttää asiointinsa, koska hän ei ole voinut varmistua pankilta tekstiviestitse saamansa koodin käyttötarkoituksesta.
Asiakkaan kerrottua puhelimessa muiden pankkitunnustietojen lisäksi kyseisten tilisiirtojen vahvistamista varten pyydetyt avainluvut asiaa kyseenalaistamatta Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen erittäin vakavaa varomattomuuttaan. Asiassa saadun kokonaisselvityksen perusteella ja ottaen huomioon sen, että asiakkaan pankiltaan saamissa tavanomaisissa maksujen vahvistamista koskevissa tekstiviesteissä selvästi ilmaistaan asiakkaan olevan maksamassa, lautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Näin ollen asiakas lähtökohtaisesti vastaa tilisiirroista aiheutuneesta vahingosta pankin ja asiakkaan välisessä suhteessa.
Verkkopankin sisällä tehdyn oikeudettoman tilisiirron tekeminen ilman vahvaa tunnistamista
Maksupalvelulain 8 §:ssä määritetään, mitä laissa tarkoitetaan vahvalla tunnistamisella, jota lain 85 b § edellyttää palveluntarjoajan käyttävän, jos maksaja käyttää maksutiliään tietoverkon välityksellä tai toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski. Edelleen lain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Vahvan tunnistamisen on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin (EU) 2015/2366 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa (RTS). Komission delegoidun asetuksen (EU) 2018/389 III luvussa luetellaan asiakkaan vahvaa tunnistamista koskevan periaatteen poikkeuksista.
Em. asetuksen III luvun 15 artiklan, joka koskee saman luonnollisen henkilön hallussa olevien tilien välisiä tilisiirtoja, mukaan on sallittavaa, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.
Asiassa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista siinä yhteydessä, kun rikolliset ovat tehneet 51.700,00 euron tilisiirron asiakkaan verkkopankissa asiakkaan ja tämän vaimon yhteiseltä säästötililtä asiakkaan käyttötilille.
Pankkilautakunta toteaa maksupalveluja ja vahvaa tunnistamista koskevan sääntelyn sallivan palveluntarjoajien tietyissä poikkeustilanteissa poikkeavan vahvan tunnistamisen vaatimuksesta ja tässä tapauksessa lautakunta katsoo, että pankki on voinut sallia ko. verkkopankin sisäisen siirron tapahtuvan ilman vahvaa tunnistamista.
Vaikka sääntely tietyissä poikkeustilanteissa sallii sen, ettei maksupalvelujentarjoajan ole edellytettävä maksujen yhteydessä maksajan vahvaa tunnistamista, ei maksupalvelun käyttäjä maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan kuitenkaan vastaa maksuvälineensä oikeudettomasta käytöstä, jos maksupalveluntarjoaja ei ole maksuvälineen oikeudettoman käytön yhteydessä edellyttänyt maksajan vahvaa tunnistamista. Näin ollen salliessaan maksutapahtumia tehtävän ilman maksajan vahvaa tunnistamista ottaa pankki vastuulleen riskin maksuvälineen oikeudettomasta käytöstä.
Tässä tapauksessa verkkopankin sisällä tehty tilisiirto on rikollisten oikeudettomasti tekemä ja koska pankki on sallinut tilisiirron tekemisen ilman maksajan vahvaa tunnistamista, vastaa pankki tästä tilisiirroista.
Pankkilautakunta toteaa, että asiassa aiheutunut 45.145,00 euron vahinko on tässä tapauksessa realisoitunut, kun asiakas on kertonut maksujen vahvistamisen edellyttämät avainluvut puhelimessa ja rikolliset ovat voineet vahvistaa ko. maksut ulkomaille. Edellä esitetyin perusteluin lautakunta katsoo asiakkaan menetelleen törkeän huolimattomasti, minkä johdosta asiakas lähtökohtaisesti vastaa maksuista aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.
Tapauksessa saadun kokonaisselvityksen perusteella Pankkilautakunta kuitenkin katsoo, että asiassa aiheutuneen vahingon edellytyksenä on ollut ennen em. maksuja tehty verkkopankin sisäinen siirto ja se, että pankki on sallinut tämän oikeudettoman siirron tekemisen ilman vahvaa tunnistamista. Rikollisten asiakkaan verkkopankissa tekemä 51.700,00 euron tilisiirto asiakkaan ja tämän aviopuolison yhteiseltä tililtä asiakkaan käyttötilille on tehty 18.7.2024 klo 14.56, minkä jälkeen asiakkaan käyttötililtä on klo 15.10-16.12 ulkopuolisille yhdeksän yhteisarvoltaan 45.145,00 euroa. Pankki ei ole vedonnut siihen, että asiakkaan käyttötilillä olisi ollut ennen em. verkkopankin sisäistä siirtoa varoja, tai antanut tilin saldosta selvitystä. Pankkilautakunta katsoo näin ollen, että em. verkkopankin sisäinen siirto on ollut edellytyksenä sille, että asiakkaan käyttötililtä on tämän jälkeen voitu tehdä em. yhdeksän vahingon tapauksessa realisoivaa siirtoa ulkopuoliselle, ja ettei ilman kyseistä tilisiirtoa asiassa olisi aiheutunut vahinkoa. Koska pankki on sallinut tämän tilisiirron tekemisen ilman vahvaa tunnistamista ja siirto on oikeudeton, vastaa pankki kyseisestä tilisiirrosta ja asiassa aiheutuneesta vahingosta täysimääräisesti.
Lopputulos
Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki korvaa asiakkaalle asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon täysimääräisesti.
Ratkaisusuositus syntyi äänin 4–1. Ratkaisusuosituksen antamiseen osallistuivat puheenjohtaja Sillanpää sekä jäsenet Atrila, Makkonen ja Punakivi. Jäsen Ketolan eriävä mielipide on liitteenä.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Atrila
Ketola
Makkonen
Punakivi
Jäsen Ketolan eriävä mielipide:
Olen Pankkilautakunnan enemmistön kanssa eri mieltä ratkaisusuosituksen perusteluista ja lopputuloksesta siltä osin kuin Pankkilautakunnan enemmistö katsoo pankin olevan vastuussa vahingosta niiltä osin kuin verkkopankin sisäinen oikeudeton siirto ilman vahvaa tunnistamista on lisännyt vahingon kokonaismäärää.
Asian kannalta merkitykselliset lainsäännökset ovat maksupalvelulain 53 §:n 1 ja 2 momentti (Maksuvälineestä huolehtiminen), maksupalvelulain 85 c §:n 1 ja 5 momentti (Tunnistaminen), komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artikla (Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot), maksupalvelulain 62 § (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) sekä maksupalvelulain 63 §:n 1 momentti (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta).
Tapauksessa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista rikollisten tekemän asiakkaan hallussa olevien tilien välisen tilisiirron yhteydessä komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artiklan perusteella. Maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista. Tarkasteltavan oikeudettoman tilien välisen siirron perusteella asiakkaalle ei kuitenkaan ole syntynyt varallisuusvahinkoa, jonka pankki olisi maksupalvelulain 62 §:n 3 momentin 4 kohdan perusteella velvollinen korvaamaan asiakkaalle. Siirto on tehty sellaisten tilien välillä joissa asiakas on tilinomistaja ja siirron jälkeen varat ovat olleet edelleen kokonaisuudessaan asiakkaan vallinnassa. Vahinkoedellytyksen täyttymiseksi varojen olisi tullut kyseisen oikeudettoman siirron jälkeen päätyä kolmannen osapuolen haltuun. Koska vahingon edellytyksenä on ollut se, että asiakas on kertonut maksujen vahvistamisen edellyttämät avainluvut puhelimessa, eli toiminut maksupalvelulain tarkoittamalla tavalla törkeän huolimattomasti, asiakkaan hallussa olevien tilien välinen oikeudeton siirto ei ole riittävässä syy-yhteydessä aiheutuneeseen vahinkoon, vaan syy-yhteys on katkennut kun asiakas on antanut avainluvut puhelimessa ja mahdollistanut oikeudettomat maksutapahtumat. Vaikka pankki ottaisi vastuulleen riskin maksuvälineen oikeudettomasta käytöstä jättäessään vaatimatta vahvaa tunnistamista, riski ei verkkopankissa tehdyssä sisäisessä siirrossa voi realisoitua vahingoksi, koska varoja siirretään ainoastaan asiakkaan hallussa olevien tilien välillä. Maksupalvelulain nojalla maksutapahtumia tulee arvioida erillisinä tapahtumina, jolloin on selvää, ettei sisäisestä siirrosta aiheudu korvattavaa vahinkoa.
Pankki palveluntarjoajana on nimenomaisesti edellyttänyt vahvaa tunnistamista niiden maksutapahtumien osalta, joilla varat on siirretty kolmannen osapuolen haltuun ja joilla vahinko on realisoitunut. Asiakkaan toiminnalle on annettava sama merkitys riippumatta siitä, siirretäänkö tilillä alun perin olleita varoja tai sinne verkkopankin sisäisen siirron kautta siirrettyjä varoja. Pankkilautakunnan enemmistön näkemyksen mukainen tulkinta asettaisi eriarvoiseen asemaan sellaiset asiakkaat, joiden koko tilivarallisuus on verkkopankissa vain yhdellä tilillä.
Lopputulos
Katson, että vahinko on aiheutunut asiakkaan maksupalvelulain mukaisen törkeän huolimattoman menettelyn seurauksena. Asiakkaan hallussa olevien tilien välinen ilman vahvaa tunnistamista tehty oikeudeton siirto ei ole riittävässä syy-yhteydessä oikeudettomista tilisiirroista aiheutuneeseen vahinkoon, jotka asiakas on omalla toiminnallaan mahdollistanut. Pankkilautakunnan enemmistön kannan hyväksyminen merkitsisi sitä, että asiakkaan omalla toiminnalla ei olisi merkitystä vastuunjaon arvioinnissa, eikä tällainen malli olisi rikoksentorjunnan kannalta tarkoituksenmukainen.
Edellä todetuin perustein katson, että pankki ei vastaa kyseisestä tilisiirrosta ja asiassa aiheutuneesta vahingosta miltään osin, eikä Pankkilautakunnan tulisi suosittaa pankkia korvaamaan asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutunutta vahinkoa.