Haku

FINE-73961-X2Q1F1

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-73961-X2Q1F1 (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 09.06.2025

Miten vastuu asiakkaan verkkopankissa tehdystä ja asiakkaan puhelimessa olevalla pankin tunnistussovelluksella vahvistetusta tilisiirrosta jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksajan suostumus maksutapahtumalle.

Tapahtumatiedot

Asiakkaan tililtä tehtiin 19 672 euron suuruinen rikollinen tilisiirto 12.11.2023, joka saatiin kuitenkin palautettua asiakkaalle. Seuraavana päivänä 13.11.2023 klo 11.02 asiakkaan pankkitunnukset uusittiin ja hänelle avattiin uusi verkkopankin käyttäjätunnus. Asiakas myös otti laitteellansa käyttöön pankin tunnistussovelluksen hetkeä myöhemmin klo 11.04. Vielä samana päivänä asiakkaan tililtä tehtiin kaksi yhteismäärältään 36 131 euron tilisiirtoa kyseisellä tunnistussovelluksella vahvistaen ranskalaiselle tilille. Asiakas huomasi tilisiirrot ja otti yhteyttä pankin asiakaspalveluun. Tilisiirroista saatiin palautettua toinen kokonaan ja toinen osin, yhteensä 21 241 euroa. Asiakkaan vahingoksi jäi näin ollen 14 890 euroa.

Asiakkaan vaatimukset

Asiakas vaatii pankkia korvaamaan 14 890 euroa sekä koron, joka hänelle olisi maksettu, jos ko. summa olisi ollut asiakkaan tilillä.

Valituksessaan asiakas viittaa pankille tekemäänsä korttireklamaatioon, jossa asiakas on kertonut saaneensa pankilta tekstiviestillä ilmoituksen 12.11.2023, jossa kerrottiin olevan syytä epäillä verkkopankkitunnusten vaarantuneen ja että ne on turvallisuussyystä suljettu. Viestissä myös pyydettiin ottamaan yhteyttä pankkiin verkkopankkitunnusten uusimiseksi. Asiakas soitti pankin yhteyshenkilölle 13.11.2023 noin kello 10, ja sai uudet tunnukset, joilla avasi verkkopankin ja vahvistin saapuneet e-laskut. Samana päivänä noin kello 16.00 asiakkaalle tuli pankista sähköpostiviesti verkkopankissa olevasta kirjeestä. Asiakas avasi verkkopankin ja huomasi, että tililtä oli hävinnyt 36 131 euroa kahdella tilisiirrolla. Lisäksi 12.11.2023 tililtä oli nostettu 19 672 euroa, joka oli kuitenkin palautettu saman tien tilille. Pankin asiakaspalvelu kertoi, että rahat oli siirretty kahdella tilisiirrolla ranskalaisille tileille 13.11.2023 kello 15.55.

15.11.2023 kerrottiin, että 18 239 euroa oli palautettu tilille.  19.11.2023 palautti yksi maksunsaajista 3 002 euroa, mutta jätti palauttamatta 14 890 euroa.

Asiakas kiistää pankin väittämän siitä, että asiakas olisi ollut pankkiin yhteydessä viiveellä tapahtuneesta. Asiakas otti yhteyttä pankin asiakaspalveluun mentyään ensimmäistä kertaa verkkopankkiin uusilla pankkitunnuksillaan 13.11.2023 noin kello 16.00. Asiakas soitti välittömästi pankkiin havaittuaan rikolliset tilisiirrot ja ilmoitti, ettei ole tilisiirtoja tehnyt. Asiakas ei ollut samana päivänä ennen kyseistä ajankohtaa avannut yhteyttä verkkopankkiin eikä ollut hyväksynyt tai vahvistanut yhtään tilisiirtoa. Kun asiakas tiedusteli, miksi tilisiirrot oli tehty ilman hänen hyväksyntäänsä, hänelle vastattiin, että huijari oli estänyt näiden tilisiirtojen lisävahvistukset. Yhdenkään pankin asiakaspalveluun tehdyn yhteydenoton aikana ei esitetty väitettä, että asiakkaan laitteelta olisi hyväksytty nuo tilisiirrot. Asiakkaan oltua useasti yhteydessä omaan yhteyshenkilöönsä hänen esihenkilönsä kertoi puhelimessa 23.11.2023, että huijari oli saanut asiakkaan pankkitunnuksen, kun asiakas oli kirjautunut sähköpostilla lähetettyyn huijausviestissä olleeseen linkkiin pankkitunnuksillaan. Tämä on mainittu myös pankin FINEeen 10.3.2025 lähettämässä kirjeessä, jossa on myös mainittu huijausviestin lähettäjän IP-osoitteen olevan Marokossa, mutta ei ole kerrottu tilisiirtojen vahvistusten tekijän IP-osoitteen olevan asiakkaan IP-osoite. Kun pankki oli saanut selvitettyä tämän, niin se on edeltänyt asiakkaan tietokoneella tehtyjen yhteyksien selvittämistä ja myös sen havaitsemista, ettei kolmea 13.11.2023 tehtyä tilisiirtoa ollut hyväksytty asiakkaan tietokoneelta. Noiden edellä mainittujen tietojen olemassaolo kumoaa pankin väitteen, että asiakas olisi reklamoinut tilisiirroista vasta vuoden kuluttua tapahtuneesta ja ettei maksujen vahvistamisten lokitietoja voitaisi enää palauttaa, sillä ne tiedot ovat olleet pankilla jo aikaisemmin.

Asiakas tiedusteli useaan otteeseen pankin asiakaspalvelusta, miksi asiakkaan tilisiirtoja pankissa tutkivat henkilöt eivät ole ottaneet mitään yhteyttä asiakkaaseen niin kuin hänelle useaan kertaan vakuutettiin. Asiakas ei saanut vastauksia kysymyksiinsä. Vasta noin vuoden kuluttua tapahtuneesta asiakkaalle kerrottiin asiakaspalvelusta ensimmäisen kerran, että hän saa vastauksen vain, jos on tehnyt asiasta kirjallisen reklamaation. Asiakasta kehotettiin tekemään korttireklamaatio. Asiakas ihmettelee pankin toimintaa edelleen.

Palveluntarjoajan kanta

Pankki kiistää asiakkaan vaatimukset.

Laki, sopimusehdot ja vastaavissa tapauksissa noudatettu ratkaisukäytäntö puoltavat sitä, ettei kyse ole ollut oikeudettomasta maksutapahtumasta, josta aiheutuneesta vahingosta pankki vastaisi. Näin siksi, että asiakas on antanut maksutapahtuman veloittamiseen suostumuksensa, vaikkakin vääriksi osoittautuneisiin tietoihin luottaen.

Pankin käsityksen mukaan asiakas on todennäköisesti joutunut pankin nimissä liikkuneen sähköpostihuijauksen uhriksi. Asiakas on kirjautunut sähköpostissa olleeseen linkkiin verkkopankkitunnuksillaan, mutta kyseessä on ollut huijaussivusto, jonka avulla huijarit ovat kalastelleet asiakkaan pankkitunnukset sekä tehneet tilisiirtoja, jotka on vahvistettu asiakkaan käytössä olevalla pankin tunnistautumissovelluksella. Osa maksuista on saatu välittömästi peruutettua pankin fraud-yksikön toimesta. Yhdestä 17 892 euron suuruisesta maksusta saatiin palautettua 3 002 euroa ja kateisiin jäi 14 890 euroa.

Asiakkaan tililtä on tehty seuraavat tilisiirrot:
17 892 EUR 13.11.2023 (reklamoitu maksu, josta osa saatu palautettua)
18 239 EUR 13.11.2023
19 672 EUR 12.11.2023

Tilisiirrot on vahvistettu asiakkaan verkkopankkitunnuksilla sekä siihen liitetyllä pankin tunnistautumissovelluksella. Tilisiirroista on lähetetty kaksi vahvistusviestiä per maksu asiakkaan tunnistautumissovellukseen. Maksuja ennen ei ole tehty omien tilien välisiä siirtoja. Pankin tunnistautumissovelluksen, jota on käytetty maksujen hyväksymiseen, asiakas on aktivoinut käyttöönsä 13.11.2023 klo. 11.04. Asiakkaalla ei ole ollut muita pankin tunnistautumissovelluksia eikä tunnuslukulaitteita käytössään tapahtumahetkellä.

Kun asiakas vie maksuun liittyvän erimielisyyden Vakuutus- ja rahoitusneuvonta FINE:n ratkaistavaksi näin pitkän ajan kuluttua sen toteutumisesta, pankki ei valistettavasti enää pysty palauttamaan kyseiseen maksuun liittyviä lokitietoja. Pankin järjestelmässä ei enää ole asiakkaan pankin tunnistautumissovellukseen lähetetyn maksutapahtumaa koskevan viestin tarkkaa sisältöä.

Oheiset viestit ovat esimerkkejä siitä, mitä asiakkaan tunnistautumissovelluksella on näytetty tapahtumahetkellä. Vahvistuspyyntömallin viesti on yksiselitteinen sen osalta, että se koskee maksun tekemistä:

Malli ensimmäisestä vahvistusviestistä:
[Pankin verkkopalvelu] pyytää vahvistusta
Haluan maksaa
summa: 19 372,00 EUR
saaja: Dago Grace Lea
tilille: FRxxxxxxxxxxxxxxxxxxxxxx
päiväys: 12.11.2023
tililtä: FIXX XXXX XXXX XXXX XX

Malli lisävahvistusviestistä:
[Pankin verkkopalvelu] pyytää vahvistusta
Olet tekemässä maksua joka vaatii lisävahvistuksen.
Tarkasta, että alla olevat tiedot ovat oikein.
summa: 19 372,00 EUR
tilille: FRxxxxxxxxxxxxxxxxxxxx
saaja: Dago Grace Lea
tililtä: FIXX XXX XXXX XXXX XX

Malli vahvistusviestistä:
[Pankin verkkopalvelu] pyytää vahvistusta
Haluan maksaa
summa: 17 892,00 EUR
saaja: GOBALY MARIANELIS
tilille: FRxxxxxxxxxxxxxxxxxxxx
päiväys: 13.11.2023
tililtä: FIXX XXX XXXX XXXX XX

Malli lisävahvistusviestistä:
[Pankin verkkopalvelu] pyytää vahvistusta
Olet tekemässä maksua joka vaatii lisävahvistuksen.
Tarkasta, että alla olevat tiedot ovat oikein.
summa: 17 892,00 EUR
tilille: FRxxxxxxxxxxxxxxxxxxxx2
saaja: GOBALY MARIANELIS
tililtä: FIXX XXX XXXX XXXX XX

Malli vahvistusviestistä:
[Pankin verkkopalvelu] pyytää vahvistusta
Haluan maksaa
summa: 18 239,00 EUR
saaja: EI PRIVAT DAVID
tilille: FRxxxxxxxxxxxxxxxxxxxx
päiväys: 13.11.2023
tililtä: FIXX XXX XXXX XXXX XX

Malli lisävahvistusviestistä:
[Pankin verkkopalvelu] pyytää vahvistusta
Olet tekemässä maksua joka vaatii lisävahvistuksen.
Tarkasta, että alla olevat tiedot ovat oikein.
summa: 18 239,00 EUR
tilille: FRxxxxxxxxxxxxxxxxxxxxxxxxxxx
saaja: EI PRIVAT DAVID
tililtä: FIXX XXXX XXXX XXXX XX

Ensimmäinen huijaukseen liittyvä maksu on tehty verkkopankin käyttäjätunnuksella XXXXX päivämäärällä 12.11.2023. Tämän jälkeen asiakkaan verkkopankkitunnukset on lukittu pankin petostorjunnan toimesta ja maksusta on tehty palautuspyyntö. Kaksi muuta maksua on tehty käyttäjätunnuksella XXXXXXX, joka on otettu käyttöön seuraavana päivänä konttorissa. Molempien käyttäjätunnusten istunnoissa on käytetty samaa ulkopuolisen laitetta (huijarin) marokkolaisesta IP-osoitteesta.

Asiakkaalle on avattu uusi verkkopankin käyttäjätunnus konttorilla 13.11.2023 klo 11.02 ja seuraavat huijaukseen liittyvät maksut tililtä on tehty samana päivänä ennen klo 16.00. Istunnoissa sisäänkirjautuminen on tehty asiakkaan tunnistautumissovelluksella vahvistaen. Istunnon kieli on vaihdettu ranskaksi. Asiakas on mahdollisesti mennyt uudelleen samaan sähköpostilinkkiin tai saanut uuden viestin, jonka kautta on joutunut uudelleen huijauksen kohteeksi.

Maksupalvelulain 38 §:n mukaan maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla. Pankin ja asiakkaan sopimukseen pankkitunnuksista sovelletaan pankin pankkitunnuksilla käytettävien palvelujen yleisiä sopimusehtoja, jotka pankki on toimittanut FINElle.

Ehtojen mukaan tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille verkkopankkipalvelun edellyttämällä tavalla.

Riidanalainen maksutapahtuma johtuu tietojen kalasteluhuijauksesta. Pahoiteltava erehtyminen maksun todellisesta luonteesta ei kuitenkaan siirrä vastuuta maksutapahtumasta pankille, kun maksutapahtuma tehdään asiakkaan suostumuksella käyttäen maksupalvelulaissa tarkoitettua vahvaa tunnistamista. Riidanalainen maksu jää asiakkaan vastuulle, sillä se on vahvistettu pankin tunnistautumissovelluksella, jossa olennaiset maksutiedot näytetään myös maksun hyväksymisen yhteydessä.

Kun asiakas antaa pankille suostumuksensa maksun veloittamiseen, maksu ei ole oikeudeton maksupalvelulain 38 §:n mukaan, vaikka maksu jälkikäteen osoittautuisikin liittyvän huijaustapaukseen. Siten pankilla ei ole velvollisuutta korvata asiakkaalle vahinkoa, joka on aiheutunut riidan kohteena olevasta maksusta.

Asiakkaan joutuminen petoksen uhriksi on erittäin valitettavaa. Pankin on kuitenkin kohdeltava kaikkia samassa tilanteessa olevia asiakkaitaan yhdenvertaisesti. Voimassa olevasta lainsäädännöstä johtuu, että tietojenkalastelutapaukset, joissa asiakas itse hyväksyy maksun, eivät kuulu pankin taloudellisen vastuun piiriin.

Sopimusehdot ja lainsäädäntö

Maksupalvelulain 38 §:n (Maksajan suostumus maksutapahtuman toteuttamiseen) 1 momentin mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Pankkitunnusehtojen Tunnistautuminen Verkkopankkipalveluun -kohdan mukaan
Verkkopankkipalvelujen käyttämiseksi asiakas tunnistautuu ilmoittamalla pankille Verkkopankkipalveluun kirjautuessaan tunnistautumistietonsa. Asiakkaan kirjauduttua Verkkopankkipalveluun asiakas ei saa antaa avattua palveluyhteyttä muun tahon käytettäväksi. Tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille Verkkopankkipalvelun edellyttämällä tavalla.

Ratkaisusuositus

Asiassa on kyse siitä, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa riidanalaiselle tilisiirrolle vai onko maksutapahtumaa pidettävä oikeudettomana. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on asiassa arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista mahdollinen huolimattomuus on ollut.

Pankin asiassa antamien selvitysten mukaan kirjautuminen asiakkaan verkkopankkiin sekä reklamoitu tilisiirto on vahvistettu asiakkaan käytössä olleella pankin tunnistussovelluksella. Selvityksen mukaan tunnistussovelluksessa on ennen maksun vahvistuksen antamista näkynyt ”[Pankin verkkopalvelu] pyytää vahvistusta. Haluan maksaa” sekä maksun tiedot mukaan lukien maksun euromäärä, maksunsaajan tilinumero ja saajan nimi. Tilisiirron toteuttaminen on edellyttänyt tavanomaisen tunnistussovelluksessa annettavan maksun vahvistamisen lisäksi sovelluksessa annettua lisävahvistusta. Lisävahvistuksen kohdalla on selvityksen mukaan ennen lisävahvistuksen antamista todettu em. tietojen lisäksi seuraavasti: ”[Pankin verkkopankki] pyytää vahvistusta Olet tekemässä maksua joka vaatii lisävahvistuksen. Tarkasta, että alla olevat tiedot ovat oikein.”

FINEllä ei ole syytä epäillä pankin esittämän järjestelmätietoihinsa perustuvan selvityksen paikkansa pitävyyttä. Em. perusteella FINE katsoo selvitetyksi, että asiakas on – mahdollisesti epähuomiossaan – vahvistanut riidanalaiset tilisiirrot asiakkaan laitteessa olleella pankin tunnistussovelluksella.

Pankkilautakunta on ratkaisukäytännössään (mm. FINE-69519-Z1W5M ja FINE-070953) vakiintuneesti katsonut, että tapauksissa, joissa rikoksen uhriksi joutunut asiakas on tullut itse hyväksyneeksi riidanalaiset maksut esimerkiksi omassa puhelimessaan olevalla pankin mobiilisovelluksella ja sovelluksessa on ennen vahvistuksen antamista näkynyt vahvistettavan maksun tiedot, asiakas on antanut maksuille maksupalvelulain 38 §:ssä ja sovellettavissa ehdoissa tarkoitetun suostumuksensa eikä kyseessä olevat maksutapahtumat tällöin ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia. Tämän vuoksi tapauksissa ei ole katsottu olleen myöskään perusteita pankin vastuulle siitä vahingosta, joka maksuista on asiakkaalle aiheutunut.

FINEllä ei ole syytä arvioida nyt käsiteltävää tapausta Pankkilautakunnan vakiintuneesta ratkaisukäytännöstä poikkeavalla tavalla. FINE katsoo, että asiakas on antanut maksutapahtumille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ja pankkitunnusehtojen mukaisen vahvistuksensa tilisiirtoja koskevien maksutoimeksiantojen toteuttamiselle. Näin ollen FINE katsoo, ettei kyseessä oleva maksutapahtuma ole maksupalvelulaissa tarkoitetulla tavalla oikeudeton eikä käsillä siten ole siihen liittyvää perustetta pankin korvausvastuulle.

Lopputulos

FINE ei suosita asiassa hyvitystä.

FINE

Vakuutus- ja rahoitusneuvonta

Ratkaisija Hidén
Esittelijä Tykkä

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä