Tapahtumatiedot
Asiakas on vastaanottanut 19.11.2024 rikollisten pankin nimissä tekemän puhelun, minkä seurauksena asiakas on joutunut huijauksen uhriksi ja rikolliset ovat päässeet kirjautumaan asiakkaan verkkopankkiin.
Asiakkaan käyttötilin saldo on ollut 1.158,24 euroa ennen kuin asiakkaan verkkopankissa on 19.11.2024 klo 14.27 tehty asiakkaan käyttötilille 23.200 euron siirto asiakkaan säästötililtä ja 44.000 euron siirto asiakkaan ja tämän puolison yhteisomisteiselta säästötililtä. Em. siirtojen yhteydessä pankki ei ole edellyttänyt maksajan vahvaa tunnistamista.
Tämän jälkeen asiakkaan käyttötililtä on tehty ulkopuolisille kaksi tilisiirtoa yhteisarvoltaan 64.500 euroa, klo 14.31 39.500 euroa ja klo 14.37 25.000 euroa. Ulkopuolisille lähteneet maksut on vahvistettu asiakkaan puhelimessa olleella pankin mobiilisovelluksella. Jälkimmäisen maksun kohdalla pankki on edellyttänyt lisävahvistusta, joka on annettu syöttämällä mobiilisovellukseen pankin asiakkaalle tekstiviestitse lähettämä lisävahvistuskoodi.
Pankki on lukinnut asiakkaan käyttäjätunnukset turvallisuussyistä 19.11.2024 klo 15.31.
Asiakkaan käyttötiille on palautettu 11.12.2024 27.099 euroa ja palauttamatta on näin ollen jäänyt 37.401 euroa.
Pankki on riita-asian kirjelmöintivaiheessa ilmoittanut korvaavansa asiassa aiheutuneesta vahingosta puolet, 18.700,50 euroa, pankin katsottua maksupalvelulain mukaan perustelluksi korvata vahingon siltä osin, kun vahinko on aiheutunut ulkopuoliselle, eli asiakkaan puolisolle.
Asiakkaan valitus
Asiakas vaatii, että pankki maksaa 37.401 euroa asiakkaan tilille, koska hän ei ole antanut hyväksyntää säästötileiltä käyttötilille tehdyille siirroille.
Asiakas joutui huijauksen uhriksi 19.11.2024. Säästötileiltä vietiin 64.500 euroa. Toinen oli asiakkaan ja tämän puolison nimellä oleva perheen yhteinen tili ja toinen asiakkaan oma. Poliisin toimesta asiakas sai takaisin 27.099 euroa.
Säästötileiltä on tehty oikeudettomat siirrot ilman vahvaa tunnistamista (SCA:ta). Pankkilautakunnan linjauksen mukaan pankin vastuulle jäisi 37 401,00 euroa.
Asiakas myös ihmettelee, miksi pankki lähetti 19.11.24 turvallisuussyistä asiakkaan puhelimeen ruotsinkielisiä viestejä. Asiakkaan ja pankin sopima kieli on suomi eikä asiakas ymmärrä ruotsia.
Pankin vastine
Pankki katsoo, että asiakas on antanut maksuille maksupalvelulain mukaisen suostumuksen eikä kysymys ole siten oikeudettomasta maksutapahtumasta. Toissijaisesti pankki katsoo tapaukseen liittyvät yksityiskohdat ja kokonaisarvio huomioon ottaen asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti luovuttaessaan tunnuksensa kaikki osat puhelimitse sekä vahvistaessaan maksut ulkopuoliselle. Yleisen tietämyksen ja pankin antamien varoitusten perusteella asiakkaan tulisi olla tietoinen tunnusten turvallisesta ja huolellisesta käytöstä ja säilyttämisestä. Pankki on korostanut sitä, ettei pankki kysy tunnuksia puhelimessa vaan näin toimii ainoastaan rikollinen.
Selvitys tapahtumasta
Asiakkaan aiemmin kertoman mukaan hän on 19.11.2024 saanut puhelun pankin työntekijänä esiintyneeltä henkilöltä. Häntä on erehdytetty luovuttamaan verkkopankkitunnuksensa ja vahvistamaan puhelimeen tulevat mobiilivarmennepyynnöt kertomalla, että asiakkaan nimissä on tehty lainahakemuksia ja pankki olisi peruuttamassa lainahakemukset. Käyttäjätunnukset on lukittu turvallisuussyistä 19.11.2024 klo 15:31:29.
Pankin selvityksen mukaan asiakkaan -72 loppuiselle käyttötilille on siirretty yhteensä 67 200,00 euroa toisilta tileiltään. Tämän jälkeen käyttötililtä -72 on siirretty yhteensä 64 500,00 euroa kahtena maksuna.
Tilille on 11.12.2024 palautettu 27 099,00 euroa. Menetettyjä varoja on täten yhteensä 37 401,00 euroa.
Tilisiirrot on tehty seuraavin tiedoin:
pvm 19.11.2024 klo 14.31
summa 39 500,00 euroa
saaja Y
saajan tili FI11 4762 0010 0218 97
pvm 19.11.2024 klo 14.37
summa 25 000,00 euroa
saaja X
saajan tili FI73 4055 0018 0655 87
Pankki on toimittanut referenssikuvan asiakkaan mobiililaitteen näkymästä maksua vahvistaessa.
Pankki on lähettänyt 19.11.2024 asiakkaan tunnukseen liitettyyn puhelinnumeroon turvallisuussyistä tekstiviestejä:
19.11.2024 klo 14.34.
Du vill i vår tjänst betala 25 000,00 EUR på kontot FIxx xxxx xxxx xxxx xx. Kontrollera uppgifterna och bekräfta med koden 0425 i mobilappen. [pankki]
(ei vahvistettu)
19.11.2024 klo 14.36.46
Du vill i vår tjänst betala 25 000,00 EUR på kontot FIxx xxxx xxxx xxxx xx. 87. Kontrollera uppgifterna och bekräfta med koden 516 i mobilappen. [Pankki]
(vahvistettu)
Pankki on toimittanut referenssikuvan asiakkaalle toimitetusta lisävahvistusviestistä sekä asiakkaan mobiililaitteen näkymästä, johon tekstiviestillä toimitettu lisävahvistuskoodi syötetään.
Maksut klo 14.31 ja klo 14.37 on toteutettu käyttäen mobiilisovellusta, joka on ollut asiakkaan käytössä samalla laitteella 2.11.2023 lähtien, ja asiakkaan henkilökohtaisella pin-koodilla. Maksujen toteuttajana on täytynyt olla tiedossaan asiakkaan tunnuksen kaikki osat, eli käyttäjätunnus, salasana, mobiiliavain sekä vielä toisen maksun osalta asiakkaan puhelinnumeroon lähetettyjen lisävahvistusviestin sisältämä tiedon pyydetystä lisävahvistusnumerosta.
Pankin arviointi asiasta
Pankki on useaan otteeseen varoittanut asiakkaitaan erilaisista tietojenkalasteluista ja huijauksista. Pankki katsoo yleisen tietämyksen ja pankin antamien varoitusten perusteella, että asiakkaan tulisi olla tietoinen tunnusten turvallisesta ja huolellisesta käytöstä ja säilyttämisestä. Pankki on korostanut sitä, ettei pankki tai poliisi kysy tunnuksia puhelimessa vaan näin toimii ainoastaan rikollinen.
Tapauksessa tililtä tehdyt siirrot on vahvistettu asiakkaan tunnistusvälineellä. Hän on itse hyväksynyt tehdyt siirrot ja antanut näin maksupalvelulain 38 §:n mukaisen suostumuksen maksutapahtumien toteuttamiselle. Toisen maksuista vahvistamiseksi pankin on lähettänyt tunnuksiin liitettyyn puhelinnumeroon tekstiviestejä. Tämä jälkimmäinen maksuista on vielä vahvistettu lisävahvistuskoodilla, toistamiseen asiakkaan omalla sovelluksella. Vahvistusviesti on sisältänyt tiedot maksun summasta, maksun saajan tilinumerosta sekä lisä-vahvistuskoodista.
Pankki ei ole asiassa toiminut petollisesti ja suostumus pankille on annettu lain ja pankin sopimusehtojen mukaisesti. Näin ollen, reklamoidut tilisiirrot eivät näiltä osin ole maksupalvelulain mukaisesti oikeudettomia, eikä pankki ole vastuussa aiheutuneesta vahingosta.
Asiakas vastaa tunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos oikeudeton käyttö johtuu siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankin tunnus- ja digisopimuksen mukaisia velvollisuuksiaan, ja asiakkaan huolimattomuuden katsotaan olevan törkeää.
Asiakas on myöntänyt antaneensa pankkitunnuksensa hänelle soittaneelle henkilölle. Pankin tunnus- ja digisopimuksen ehdoissa on nimenomaisesti kielletty tunnuksen tai sen osan kertominen suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Asiakas on hyväksynyt maksut omalla tunnistusvälineellään sekä vielä lisävahvistanut maksun tekstiviestissä ilmoitetulla koodilla siitä huolimatta, että asiakkaan pankilta saamat tekstiviestit ovat sisältäneet tiedot siitä, että ollaan vahvistamassa maksua ja nämä viestit ovat sisältäneet tiedon myös maksun määrästä ja vastaanottajan tilinumerosta.
Viestit ovat tulleet asiakkaalle ruotsinkielisinä, koska huijari on asiakkaan hänelle luovuttamilla tunnuksilla kirjautunut ruotsiksi [pankki].fi:hin jossa on laittanut ne maksut aluille, jotka asiakas on sittemmin vielä erikseen hyväksynyt mobiiliavaimellaan. Jos asiakas ei ole ymmärtänyt ruotsinkielisten viestien sisältöä, olisi hänen tullut pidättyä tunnusten käytöstä. Asiakkaan epäilyn olisi nimenomaan tullut herätä, kun pankin viestit tulevat yhtäkkiä ruotsin kielellä, vaikka asiakas ja pankki ovat sopineet asiakkaan asiointikielen olevan suomi.
Kun otetaan huomioon, että asiakas on joko jättänyt lukematta pankin lähettämät vahvistuspyynnöt ja tekstiviestit tai ainakin jättänyt huomioitta viestien sisällön ja syöttänyt maksunvahvistamiseen tarvittavat koodit, pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti.
Maksupalvelulain mukaisesti olennaista on asiakkaan oma toiminta; suostumuksen antaminen tai törkeä huolimattomuus johtavat siihen, että vastuu reklamoiduista maksuista on asiakkaalla. Tämän vuoksi pankki katsoo, ettei se ole vastuussa aiheutuneesta vahingosta.
Muuttunut korvauskäytäntö koskien sisäisiä tilisiirtoja
Asiakas kertoo tekevänsä oikaisupyynnön, koska kasvutuottotililtä on tehty oikeudeton siirto. Asiassa ei ole merkityksellistä, että sisäinen/oma siirto on tehty kasvutuottotililtä, vaan se, että siirto on tehty ilman vahvaa tunnistamista (SCA:ta) ja tili on ollut yhteisomisteinen tili.
Asiakkaan käyttötilin saldo on 19.11.2024 klo 14:25 ollut 1.158,24 euroa. Klo 14:27 em. käyttötilille on siirretty 44 000,00 euroa asiakkaan ja tämän yhteisomisteiselta tuottotililtä -0127 ilman SCA:ta. Klo 14:27 asiakkaan käyttötilille on myös siirretty 23 200,00 euroa asiakkaan omalta tuottotililtä -0629, myös tämä ilman SCA:ta. Kyseessä on ollut kuitenkin asiakkaan omat varat. Tämän jälkeen käyttötililtä on siirretty yhteensä 64 500,00 euroa rikollisille. Tilille on 11.12.2024 palautettu 27 099,00 euroa, jolloin tililtä menetettyjä varoja on jäänyt 37 401,00 euroa.
Alla tilitapahtumat, joissa kolmantena on siirto yhteisomisteiselta tuottotililtä:
14:37:15 -25000,00 TILISIIRTO X
14:31:11 -39500,00 TILISIIRTO Y
14:27:32 44000,00 PANO A
14:27:18 23200,00 PANO A
Asiakkaalle annetun 31.1.2025 korvauspäätöksen jälkeen Pankkilautakunta on ratkaisukäytännössään linjannut (FINE-73847-M8JON1), että jos verkkopankin sisällä on tehty tilisiirtoja (oma siirto) ilman vahvaa tunnistamista (SCA), niin nämä jäisivät sääntelyn perusteella pankin vastuulle, kun ovat oikeudettomasti tehtyjä. Pankkilautakunta katsoi viitatussa tapauksessa, että asiakas toimi törkeän huolimattomasti (antaessaan vahvistamisen edellyttämät avainluvut puhelimessa) ja lähtökohtaisesti vastaa maksuista aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa. Kokonaisselvityksen perusteella, Pankkilautakunta katsoi kuitenkin, että aiheutuneen vahingon edellytyksenä on ollut ennen oikeudettomia tilisiirtoja tehty verkkopankin sisäinen siirto ja se, että pankki on sallinut sen oikeudettoman siirron tekemisen ilman vahvaa tunnistamista. Pankkilautakunta totesi, että koska pankki on sallinut sisäisen siirron asiakkaan tilien välillä ilman vahvaa tunnistamista ja siirto oli oikeudeton, että pankki vastasi kyseisestä siirrosta ja asiassa aiheutuneesta vahingosta täysimääräisesti.
FINEn suosituksen mukaisesti siis ilman SCA:ta yhteisomistustililtä asiakkaan käyttöoikeustilille siirretyt 44 000,00 euroa jäisivät pankin vastuulle. Koska kyseinen summa ylittää palautuksen jälkeiset menetykset, jäisi Pankkilautakunnan linjauksen mukaan pankin vastuulle 37 401,00 euroa.
Pankilla on hyväksytty Pankkilautakunnan suositus osittain. Pankki katsoo olevansa korvausvelvollinen siltä osin, kun maksuvälineen oikeudettomasta käytöstä on aiheutunut vahinkoa muulle kuin maksuvälineenhaltijalle. Laki eräistä yhteisomistussuhteista, 2 §: "Kunkin yhteisomistajan on katsottava omistavan määräosuuden yhteisestä esineestä. Osuudet ovat, jollei muuta ilmene, samansuuruiset." Tällä perusteella ulkopuolisen eli puolison osuus varoista olisi puolet.
Pankin päätös
Pankki jakaa pankkilautakunnan näkemyksen siitä, että korvattavaksi maksupalvelulain mukaan voi tulla vain aiheutunut taloudellinen menetys, ei sen enempää. Pankki katsoo maksupalvelulain mukaan perustelluksi korvata vahingon siltä osin, kun vahinko on aiheutunut ulkopuoliselle, eli asiakkaan puolisolle. Pankki katsoo, että yhteisen tilin varat on omistettu puoliksi, kun muusta ei ole selvitystä, ja pankki korvaa puolet aiheutuneesta vahingosta eli yhteensä 18 700,50 euroa. Vahinko on aiheutunut, kun tilisiirto yhteiseltä tilliltä on tehty ilman vahvaa tunnistamista eli varojen hallinta on siirtynyt pois toiselta tilin omistajalta ilman maksupalvelulain mukaista vahvaa tunnistamista. Korvausvaatimus niiltä osin, joka koskee tillisiirtoa asiakkaan omista varoista, hylätään. Pankki katsoo että yhteisellä tilillä oma osuus ja omalla tuottotilillä olevat varat ovat olleet asiakkaan omassa hallinnassa sekä määräysvallassa siihen asti, kun tilisiirroille on annettu maksupalvelulain mukaisesti suostumus varojen siirtämiselle ulkopuoliselle eli vahinko asiakkaalle itselleen on syntynyt vasta siinä vaiheessa, kun varat on siirretty ulkopuolisen omistamalle tilille.
Pankki korvaa puolet aiheutuneesta vahingosta, eli 18 700,50 euroa.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin tunnus- ja digisopimuksen ehdot
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. maksutapahtumille vai onko maksutapahtumaa pidettävä oikeudettomana. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on. Edelleen lautakunnan on arvioitava, vaikuttaako asiakkaan ja pankin välisen vastuunjakoon se, että pankki ei ole edellyttänyt vahvaa tunnistamista verkkopankin sisäisten tilisiirtojen yhteydessä.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 38 § (Maksajan suostumus maksutapahtuman toteuttamiseen.) 1 momentin mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Maksupalvelulain 85 c §:n 1 ja 5 momenttien mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1) käyttää maksutiliään tietoverkon välityksellä;
2) käynnistää sähköisen maksutapahtuman;
3) toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
[…]
Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.
Pankin tunnus- ja digisopimuksen (pankkitunnusehdot) tunnusten säilyttämistä ja sallitun käytön rajoituksia koskevan ehtokohdan mukaan
Sinulle luovutettu tunnus on henkilökohtainen. Tunnusta tai osaakaan siitä ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle […]
Tunnusta tai osaa niistä et koskaan saa:
– kertoa suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessasi [pankin] puhelinpalveluun näppäilet tunnuksen omaan puhelimeesi, samoin näppäilet tunnuksen puhelimeesi, jos haluat varmentaa sinulle tulevan puhelun olevan [pankin] soittama;
– luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille.;
– antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella etkä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.[…]
Pankkitunnusehtojen kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä koskevan ehtokohdan mukaan
Vastaat Tunnusten oikeudettomasta käytöstä, jos
1. olet luovuttanut tunnuksesi niiden käyttöön oikeudettomalle,
2. tunnuksen tai sen osan katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu omasta huolimattomuudestasi tai siitä, että olet laiminlyönyt näiden ehtojen 16. tai 17. kohdan mukaiset velvollisuutesi tai
[…]
Vastaat tunnuksen oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos olet luovuttanut tunnuksesi niiden käyttöön oikeudettomalle.
Pankkitunnusehtojen Maksutoimeksiannot -kohdan mukaan
Voit antaa pankille maksutoimeksiantoja [pankin] digitaalisissa palveluissa. […]
[Pankin] digitaalisiin palveluihin kirjautumisen jälkeen annat suostumuksesi maksutoimeksiannon toteuttamiseen hyväksymällä toimeksiannon. Tämä koskee myös Verkkomaksu-painiketta.
[…]
Asian arviointi
Pankin asiassa antamien selvitysten mukaan ko. kaksi yhteisarvoltaan 67.200 euron tilisiirtoa ulkopuolisille on vahvistettu asiakkaan omalla pankin tunnistussovelluksella. Jälkimmäinen 25.000 euron siirto on lisäksi edellyttänyt lisävahvistusta, mikä on tarkoittanut pankin asiakkaalle lähettämässä maksuvahvistusta koskeneessa tekstiviestissä olleen koodin syöttämistä pankin tunnistussovellukseen. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä eikä asiakas ole pankin esittämää kiistänyt.
Pankin tunnistussovelluksen vahvistuspyynnöissä ennen maksujen vahvistusten antamista on näkynyt asianmukaisesti isolla "Maksun hyväksyntä" sekä mm. vahvistettavan maksun euromäärä ja maksunsaajan tilinumero. Lisäksi vahvistuspyynnöissä on lukenut seuraavasti:
”Maksu välitetään maksunsaajalle yksinomaan kansainvälisen tilinumeron IBANin perusteella, vaikka maksaja olisi antanut sen isäksi muitakin tietoja maksutapahtuman toteuttamiseksi.
Jos epäilet väärinkäyttöä, hylkää pyyntö. Vahvista vain pyynnöt, jotka olet itse valinnut muussa palvelussa vahvistettavaksi [pankin tunnistusvälineellä].”
Pankkilautakunta on ratkaisukäytännössään vakiintuneesti katsonut, että tapauksissa, joissa rikoksen uhri on huijattuna tullut itse hyväksyneeksi riidanalaiset maksut esimerkiksi omassa puhelimessaan olevalla pankin mobiilisovelluksella ja sovelluksessa on ennen vahvistuksen antamista näkynyt vahvistettavan maksun tiedot, ei pankkia ole suositettu hyvittämään asiassa aiheutunutta vahinkoa asiakkaalle. Näissä tapauksissa on katsottu, että vaikka asiakas on antanut maksujen vahvistukset rikollisten harhaan johtamana, on hän kuitenkin itse antanut maksuille maksupalvelulain 38 §:ssä ja sovellettavissa ehdoissa tarkoitetun suostumuksensa, eivätkä kyseessä olevat maksutapahtumat tällöin ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia. Tämän vuoksi käsillä ei ole myöskään ollut perusteita pankin vastuulle maksuista asiakkaalle aiheutuneesta vahingosta.
Vaikka asiakas on antanut em. vahvistukset tilisiirroille tultuaan rikollisten harhaan johtamaksi, tällä ei ole merkitystä asiakkaan ja pankin välisessä suhteessa. Pankkilautakunta katsoo, että asiakas on antanut maksutapahtumille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtumien toteuttamiseen ja pankkitunnusehtojen mukaisen suostumuksensa pankille maksutapahtumien veloittamiselle tililtään. Näin ollen lautakunta katsoo, etteivät kyseessä olevat maksutapahtumat ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia ja ettei käsillä siten lähtökohtaisesti ole perusteita pankin vastuulle tilisiirroista asiakkaalle aiheutuneesta vahingosta.
Verkkopankin sisällä tehtyjen oikeudettomien tilisiirtojen tekeminen ilman vahvaa tunnistamista
Maksupalvelulain 8 §:ssä määritetään, mitä laissa tarkoitetaan vahvalla tunnistamisella, jota lain 85 b § edellyttää palveluntarjoajan käyttävän, jos maksaja käyttää maksutiliään tietoverkon välityksellä tai toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski. Edelleen lain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Vahvan tunnistamisen on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin (EU) 2015/2366 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa (RTS). Komission delegoidun asetuksen (EU) 2018/389 III luvussa luetellaan asiakkaan vahvaa tunnistamista koskevan periaatteen poikkeuksista.
Em. asetuksen III luvun 15 artiklan, joka koskee saman luonnollisen henkilön hallussa olevien tilien välisiä tilisiirtoja, mukaan on sallittavaa, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.
Asiassa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista siinä yhteydessä, kun rikolliset ovat tehneet asiakkaan käyttötilille 23.200 euron siirron asiakkaan säästötililtä ja 44.000 euron siirron asiakkaan ja tämän puolison yhteisomisteiselta säästötililtä.
Pankkilautakunta toteaa maksupalveluja ja vahvaa tunnistamista koskevan sääntelyn sallivan palveluntarjoajien tietyissä poikkeustilanteissa poikkeavan vahvan tunnistamisen vaatimuksesta ja tässä tapauksessa lautakunta katsoo, että pankki on voinut sallia ko. verkkopankin sisäisen siirron tapahtuvan ilman vahvaa tunnistamista.
Vaikka sääntely tietyissä poikkeustilanteissa sallii sen, ettei maksupalvelujentarjoajan ole edellytettävä maksujen yhteydessä maksajan vahvaa tunnistamista, ei maksupalvelun käyttäjä maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan kuitenkaan vastaa maksuvälineensä oikeudettomasta käytöstä, jos maksupalveluntarjoaja ei ole maksuvälineen oikeudettoman käytön yhteydessä edellyttänyt maksajan vahvaa tunnistamista. Näin ollen salliessaan maksutapahtumia tehtävän ilman maksajan vahvaa tunnistamista ottaa pankki vastuulleen riskin maksuvälineen oikeudettomasta käytöstä.
Tässä tapauksessa verkkopankin sisällä tehdyt tilisiirrot ovat rikollisten oikeudettomasti tekemiä ja koska pankki on sallinut tilisiirtojen tekemisen ilman maksajan vahvaa tunnistamista, vastaa pankki näistä tilisiirroista.
Pankkilautakunta toteaa, että asiassa aiheutunut ja myöhemmin saadun palautuksen jälkeen 37.401,00 euroon pienentynyt vahinko on tässä tapauksessa realisoitunut, kun asiakas on edellä esitetyn tavoin antanut maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa kahdelle yhteisarvoltaan 64.500,00 euron maksutapahtuman toteuttamiselle, minkä johdosta asiakas lähtökohtaisesti vastaa maksuista aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.
Tapauksessa saadun kokonaisselvityksen perusteella Pankkilautakunta kuitenkin katsoo, että asiassa aiheutuneen vahingon määrään on vaikuttanut ennen em. maksuja tehdyt verkkopankin sisäiset 67.200 euron siirrot ja se, että pankki on sallinut näiden oikeudettomien siirtojen tekemisen ilman vahvaa tunnistamista. Koska pankki on sallinut sisäisten tilisiirtojen tekemisen ilman vahvaa tunnistamista ja siirrot ovat oikeudettomia, vastaa pankki asiassa aiheutuneesta vahingosta siltä osin kuin ko. siirrot ovat asiassa aiheutuneen vahingon määrään vaikuttaneet.
Ulkopuolisille tehdyt siirrot on tehty asiakkaan käyttötililtä, jolla oli 1.158,24 euroa ennen edellä mainittuja yhteensä 67.200 euron oikeudettomia sisäisiä tilisiirtoja. Ilman oikeudettomia ja pankin vastuulla olevia sisäisiä tilisiirtoja asiakkaan käyttötililtä olisi voitu tehdä vain 1.158,24 euron tilisiirrot. Näin ollen pankki vastaa asiassa aiheutuneesta vahingosta 1.158,24 euroa ylittävin osin.
Lopputulos
Pankkilautakunta katsoo asiakkaan antaneen ulkopuolisille tehdyille yhteissummaltaan 64.500 euron tilisiirroille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ja asiakkaan siten lähtökohtaisesti vastaavan tilisiirroista aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa. Edelleen lautakunta kuitenkin katsoo, että vahingon kokonaismäärään on vaikuttanut 67.200 euron suuruiset tilisiirrot asiakkaan käytössä olevien tilien välillä. Koska pankki on sallinut kyseisten tilisiirtojen tekemisen ilman vahvaa tunnistamista ja siirrot ovat oikeudettomia, vastaa pankki kyseisistä tilisiirroista ja asiassa aiheutuneesta vahingosta siltä osin kuin kyseiset siirrot ovat vahingon kokonaismäärää lisänneet.
Pankin jo ilmoitettua korvaavansa asiakkaalle aiheutuneesta 37.401,00 euron vahingosta puolet, Pankkilautakunta suosittaa pankkia tämän lisäksi hyvittämään asiakkaan ja tämän puolison yhteiselle tilille 17.542,26 euroa eli ilmoittamansa korvauksen jälkeen jäljelle jääneen vahingon määrän 18.700,50 euroa vähennettynä asiakkaan käyttötilillä ennen sisäisiä siirtoja olleilla 1.158,24 euron varoilla.
Ratkaisusuositus syntyi äänin 4–1. Ratkaisusuosituksen antamiseen osallistuivat puheenjohtaja Sillanpää sekä jäsenet Atrila, Punakivi ja Tervonen. Jäsen Ketolan eriävä mielipide on liitteenä.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet: Atrila, Ketola, Punakivi, Tervonen
Jäsen Ketolan eriävä mielipide:
Olen Pankkilautakunnan enemmistön kanssa eri mieltä ratkaisusuosituksen perusteluista ja lopputuloksesta siltä osin kuin Pankkilautakunnan enemmistö katsoo pankin olevan vastuussa vahingosta niiltä osin kuin verkkopankin sisäiset oikeudettomat siirrot ilman vahvaa tunnistamista ovat lisänneet vahingon kokonaismäärää.
Asian kannalta merkitykselliset lainsäännökset ovat maksupalvelulain 38 § (Maksajan suostumus maksutapahtuman toteuttamiseen), maksupalvelulain 85 c §:n 1 ja 5 momentti (Tunnistaminen), komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artikla (Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot), maksupalvelulain 62 §:n 3 momentin 4 kohta (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) sekä maksupalvelulain 63 §:n 1 momentti (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta).
Olen samaa mieltä Pankkilautakunnan enemmistön kanssa sen osalta kuin ratkaisusuosituksessa on käsitelty asiakkaan suostumusta rikollisille tehtyjen tilisiirtojen osalta. Kyseessä olevat maksutapahtumat eivät ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia ja tämän vuoksi tapauksessa ei ole laissa säänneltyjä perusteita pankin vastuulle näistä maksuista asiakkaalle aiheutuneesta vahingosta. Pankkilautakunnan enemmistöstä poiketen katson, että maksupalvelulain 63 §:n mukainen palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta on säädetty maksutapahtumakohtaiseksi eikä maksupalvelulaki tunnista vastuunjakoarvioinnissa kokonaisselvitykseen perustuvaa harkintaa.
Tapauksessa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista kahden rikollisten tekemän asiakkaan hallussa olevien tiilien välisen tilisiirron yhteydessä komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artiklan perusteella. Maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista. Tarkasteltavien kahden verkkopankissa tehdyn oikeudettoman tilien välisen siirron perusteella asiakkaalle ei kuitenkaan ole syntynyt varallisuusvahinkoa, jonka pankki olisi maksupalvelulain 62 §:n 3 momentin 4 kohdan perusteella velvollinen korvaamaan asiakkaalle. Siirrot on tehty sellaisten tilien välillä, joissa asiakas on tilinomistaja ja siirtojen jälkeen varat ovat olleet edelleen kokonaisuudessaan asiakkaan vallinnassa. Vahinkoedellytyksen täyttymiseksi varojen olisi tullut kyseisten oikeudettomien siirtojen jälkeen päätyä kolmannen osapuolen haltuun. Koska vahingon edellytyksenä on ollut asiakkaan suostumuksella myöhemmin tehdyt maksutapahtumat, asiakkaan hallussa olevien tilien väliset oikeudettomat siirrot eivät ole riittävässä syy-yhteydessä aiheutuneeseen vahinkoon, vaan syy-yhteys on katkennut kun asiakas on antanut suostumuksensa maksutapahtumille. Vaikka pankki ottaisi vastuulleen riskin maksuvälineen oikeudettomasta käytöstä jättäessään vaatimatta vahvaa tunnistamista, riski ei verkkopankissa tehdyissä sisäisissä siirroissa voi realisoitua vahingoksi, koska varoja siirretään ainoastaan asiakkaan hallussa olevien tilien välillä. Maksupalvelulain nojalla maksutapahtumia tulee arvioida erillisinä tapahtumina, jolloin on selvää, ettei sisäisistä siirroista aiheudu korvattavaa vahinkoa.
Pankki palveluntarjoajana on nimenomaisesti edellyttänyt vahvaa tunnistamista niiden maksutapahtumien osalta, joilla varat on siirretty kolmannen osapuolen haltuun ja joilla vahinko on realisoitunut. Asiakkaalle aiheutunut vahinko ei siten ole seurausta maksuvälineen oikeudettomasta käytöstä, vaan asiakas on antanut maksupalvelulain 38 §:n mukaisen suostumuksensa maksutapahtumien toteuttamiselle. Asiakkaan maksutapahtumille antamille suostumuksille on annettava sama merkitys riippumatta siitä, siirretäänkö tilillä alun perin olleita varoja tai sinne verkkopankin sisäisen siirron kautta siirrettyjä varoja. Pankkilautakunnan enemmistön näkemyksen mukainen tulkinta asettaisi eriarvoiseen asemaan sellaiset asiakkaat, joiden koko tilivarallisuus on verkkopankissa vain yhdellä tilillä.
Lopputulos
Katson, että vahinko on aiheutunut maksupalvelulain 38 §:n mukaisella asiakkaan suostumuksella tehtyjen maksutapahtumien seurauksena, joita ei ole pidettävä oikeudettomina. Asiakkaan hallussa olevien tilien väliset ilman vahvaa tunnistamista tehdyt oikeudettomat siirrot eivät ole riittävässä syy-yhteydessä asiakkaan myöhemmin vahvistamilla siirroilla hänelle aiheutuneeseen vahinkoon. Pankkilautakunnan enemmistön kannan hyväksyminen merkitsisi sitä, että asiakkaan omalla toiminnalla ei olisi merkitystä vastuunjaon arvioinnissa, eikä tällainen malli olisi rikoksentorjunnan kannalta tarkoituksenmukainen.
Edellä todetuin perustein katson, että pankki ei vastaa kyseisistä tilisiirroista ja asiassa aiheutuneesta vahingosta miltään osin, eikä Pankkilautakunnan tulisi suosittaa pankkia hyvittämään 17.542,26 euroa.