Haku

FINE-74040-R9Y3Y6

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-74040-R9Y3Y6 (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 28.08.2025

Miten vastuu asiakkaan tililtä tehdyistä ja pankin tunnistussovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Verkkopankkitunnusten oikeudeton käyttö. Törkeä huolimattomuus.

Tapahtumatiedot

13.11.2024 asiakas joutui verkkourkinnan kohteeksi myydessään Facebookin kautta paitaa. Asiakkaan käyttötililtä siirrettiin toiselle käyttötilille 10 665 euroa, jonka jälkeen jälkimmäiseltä käyttötililtä siirrettiin 10 000 euroa Trustly Group AB:lle 13.11.2024 klo 15.36. Pankki on lukinnut asiakkaan käyttäjätunnukset turvallisuussyistä 13.11.2024 klo 15:50:26.

Asiakkaan valitus

Asiakas vaatii pankkia hyvittämään hänelle 10 000 euroa.

Asiakas on joutunut 13.11.2024 nettihuijauksen uhriksi. Asiakas oli myymässä Facebookin kautta neljä euroa maksavaa paitaa X:lle. X ilmoitti maksavansa Matkahuollon kautta postikulut ja asiakas saisi sitä kautta neljä euroa tililleen. Asiakas avasi Matkahuollon linkin, jonne kirjautui pankkitunnuksillaan. Asiakas ei epäillyt tätä, sillä OmaPosti palveluunkin kirjaudutaan ensimmäistä kertaa pankkitunnuksilla tai mobiilivarmenteella. Asiakas ei ollut koskaan aiemmin käyttänyt Matkahuollon palvelua, joten ajatteli sen toimivan kuten Postin sovellus. Kaikki näytti asiakkaan mielestä olevan kunnossa koska siellä näkyi X:n osoitetiedot sekä maksettu summa. Kirjautumisen aikana kuitenkin asiakkaan pankkitunnukset vietiin kyseisen linkin kautta. Matkahuollon sivusto näytti viralliselta grafiikoita myöten, mutta se olikin huijaussivusto. X:n nimi oli poliisin mukaan myös mahdollisesti huijausnimi.

Ensin asiakkaan säästötililtä oli siirretty käyttötilille summa 10 665 euroa, jonka jälkeen käyttötililtä oli siirretty 10 000 euroa Trustly Group AB:lle. X vei asiakkaan pankkitunnukset sekä 10 000 euroa asiakkaan tililtä. Asiakas soitti heti pankin sulkupalveluun, kun tajusi rahojen kadonneen. Sulkupalvelussa ei kuitenkaan neuvottu mitä tulisi tehdä seuraavaksi eikä sieltä kerrottu, että siinä vaiheessa he olisivat voineet yrittää vielä estää tai perua kyseistä tilisiirtoa. Jälkikäteen poliisi kyseli asiakkaalta, oliko pankki yrittänyt estää siirtoa. Asiakkaasta tuntui, että sulkupalvelussa ei otettu häntä tosissaan, kun hän kertoi, että hänen tililtään vietiin iso summa rahaa. Asiakas joutui myös seuraavana päivänä soittamaan uudelleen, että he sulkisivat myös asiakkaan kortin turvallisuuden vuoksi, sillä korttia ei ollut suljettu ensimmäisessä puhelussa eikä sitä oltu asiakkaalle ehdotettu.

Asiakkaalle tuli pankilta varmistusviesti, eikä viestissä oleva iPhone XR ollut asiakkaan puhelin, joten hän ei vahvistanut tuota koodia ja on varma siitä. Asiakas oli kirjattu ulos pankista ja kun hän kirjautui sinne uudestaan, hän huomasi rahojensa hävinneen. Asiakas huomasi rahojen hävinneen heti, sillä hän meni katsomaan samoihin aikoihin, oliko paidan maksu jo tullut hänen tililleen. Asiakas ei itse myöskään ole vahvistanut mitään siirtoja eikä niistä ole tullut vahvistusviestejä eli asiakas ei ole hyväksynyt maksuja. Asiakas ei ole koskaan tehnyt noin suurta siirtoa mihinkään eli tämä oli poikkeuksellinen siirto hänen tilillään. Koska asiakas on opiskelija, hän ei siirtäisi tai käyttäisi niin isoa summaa kerralla mihinkään. Tässä meni kaikki asiakkaan säästöt sekä rahallinen omaisuus ja nyt hänen on haastavaa tulla toimeen ilman rahoja, koska hänellä ei ole tuloja. Sulkupalveluun soittamisen jälkeen asiakas teki myös rikosilmoituksen.

Asiakas on ottanut yhteyttä FINEen, sillä pankki ilmoitti, että ei korvaa aiheutunutta vahinkoa ja katsoo asiakkaan toimineen törkeän huolimattomasti. Pankki ei kuitenkaan yrittänyt estää asiakkaan rahojen lähtemistä. Asiakas ei ole saanut myöskään perusteluja sille, miksi pankki ei saanut Trustly Group AB:ltä rahoja takaisin, kun rahojen takaisin pyyntö tehtiin. Asiakkaalle vain ilmoitettiin, että rahoja ei saatu takaisin.

Pankki ei korvannut asiakkaalle menetettyä summaa takaisin oikaisuvaatimuksesta huolimatta. Myös pankin muutoksenhakutoiminto katsoi, että asiakas olisi toiminut törkeän huolimattomasti, vaikka hän ei itse koe näin. Asiakasta huijattiin Facebook kaupoissa ja asiakas on uhri. Tämä myös järkytti asiakasta ja hänen läheisiään erittäin paljon. Asiakas on myös toiminut heti tapahtuneen huomattuaan oikein eli soittanut pankin sulkupalveluun sekä tehnyt saman tien rikosilmoituksen. Asiakkaan mielestä näidenkin asioiden pitäisi puoltaa häntä, että hän ei ole toiminut tahallisesti eikä huolimattomasti. Asiakas ei ole osoittanut piittaamattomuutta pankkiasioiden hoidossa tai pankkitunnusten käyttämisessä, jonka pitäisi myös puoltaa asiakkaan puolia. Poliisi otti tapahtuneen käsittelyyn heti seuraavana päivänä.

Asiakkaan mielestä pankin olisi pitänyt huomata niin iso tilisiirto ulkomaille ja ilmoittaa siitä asiakkaalle. Asiakas säilyttää tunnuksiaan myös turvallisesti kotona ja erikseen toisistaan ja on aina toiminut huolellisesti pankkiasioiden kanssa.

Asiakas perustelee vaatimustaan myös sillä, että pankki ei ole ilmoittanut tai varoitellut, että Matkahuollon sivustot ovat olleet viime aikoina varkaiden suosimia sivustoja. Pankki arvioi, että he ovat useaan otteeseen varoittaneet asiakkaitaan erilaisista tietojenkalastelusta, mutta pitkään aikaan ei ollut mitään varoituksia varsinkaan liittyen Matkahuollon sivustoon. Asiakas tiedostaa kyllä nettihuijauksen mahdollisuuden ja on varovainen, mutta tässä tapauksessa Matkahuollon sivusto oli täysin oikeannäköinen ja toimi kuten OmaPosti palvelu. Asiakas ei ole luovuttanut verkkopankkitunnuksiaan vaan oli kirjautumassa niillä, kuten Postinkin palveluun kirjaudutaan verkkopankkitunnuksilla. Asiakas ei ole siis toiminut tahallisesti eikä törkeän huolimattomasti, kuten pankki arvioi. Asiakas säilyttää verkkopankkitunnuksiaan itsellään turvassa sekä eri paikoissa, joten hän huolehtii niiden turvallisuudesta, etteivät ne joudu vääriin käsiin. Asiakas ei voinut kuitenkaan vaikuttaa siihen, että Matkahuollon sivusto olikin huijareiden tekemä. Pankin viestissä arvioitiin, että asiakkaan olisi pitänyt ymmärtää Matkahuollon sivusto huijaussivustoksi ja olla laittamatta tunnuksiaan sinne sekä ymmärtää, että se poikkeaa normaalista kirjautumisesta. Matkahuollon sivusto oli kuitenkin täysin aidon näköinen ja kirjautuminen ei asiakkaan mielestä poikennut normaalista kirjautumisesta, sillä vahvaa tunnistautumista käytetään useissakin paikoissa. Asiakas ajatteli Matkahuollon ja Postin palvelut samanlaisiksi, joihin ensimmäistä kertaa kirjautuessa käytetään tunnuksia. Pankin sivuilla lukee, että pankkitunnusten laittaminen ei vielä ole törkeää huolimattomuutta, joten asiakas ihmettelee, miksi häntä on syytetty siitä.

Maksun tietojen tulisi tulla mobiilisovellukseen tai tekstiviestillä, mutta näin ei ollut. Niitä ei asiakkaalle tullut, joten hän ei myöskään ole vahvistanut maksuja. Asiakkaan mielestä siirto on oikeudeton, sillä hän ei ole vahvistanut sitä ja pankki on sallinut tämän tilisiirron tekemisen ilman vahvaa tunnistautumista asiakkaalta. Pankki ei ottanut yhteyttä asiakkaaseen huolimatta niin isosta tilisiirrosta ulkomaille. Asiakkaan mielestä pankki on osoittanut välinpitämättömyyttä asian selvittämisessä ja laiminlyönyt huolellisuusvelvoitteitaan. Esimerkiksi asiakkaan soittaessa sulkupalveluun. Tapahtuneesta seuraavana päivänä asiakas meni omaan pankkiinsa kertomaan asiasta ja selvittämään asiaa, eikä siellä oikein neuvottu asiakasta tai kerrottu mitä hänen tulee tehdä. Asiakas joutui itse ottamaan selvää, mitä hänen kuuluu tehdä ja missä järjestyksessä, ja kun hän otti yhteyttä pankkiin verkkoviestin kautta, hänestä tuntui, että hän tiesi itse paremmin lomakkeista kuin pankki. Korvauspyyntö lomakekin viivästyi, sillä pankista ei kysytty kaikkia lomakkeita asiakkaalta heti, vaan yksi kerrallaan.

Asiakas ihmettelee, eikö asiakkaan näkökulmaa puolla kukaan tai mikään. Vaihtoehtoisia tapahtumankulkuja sille, miten vahvistuskoodi on voinut päätyä rikolliselle, on monia, sillä asiakas itse ei sitä ole vahvistanut. Asiakas on silloin huomannut pankilta tulleen varoitusviestin ja huomannut, ettei iPhone ollut hänen, joten hän ei vahvistanut tuota koodia. Asiakas ei ole siis syöttänyt koodia valesivustolle.

Vahvistuskoodit ovat kuitenkin lyhyt numerosarja, jonka pystyy helposti nykypäivänä selvittämään esimerkiksi tekoälyn tai algoritmin kautta. Asiakas käytti Wifi-verkkoyhteyttä pankkitunnusten syöttämiseen, joten on mahdollista, että rikolliset ovat saaneet yhteyden verkkoliikenteeseen ja saaneet vahvistuskoodin. Ammattirikolliset ovat voineet käyttää teknisesti kehittynyttä menetelmää, jolloin he ovat seuranneet myös asiakkaan puhelimen liikennettä. Ja sitä kautta ovat saaneet koodin, jolloin he ovat saaneet ensin myös pankkitunnukset sekä vahvistuskoodin. Asiakkaan mielestä tapahtumankulku on yksiselitteinen, sillä hän on huomannut pankilta tulleet viestit ja ei ole vahvistanut iPhone koodia. Turvallisuussyistä ja sattumalta samaan aikaan asiakas oli menossa katsomaan, onko paidan raha tullut jo tilille. Mutta mobiilipankista olikin siinä vaiheessa kirjattu hänet jo ulos, vaikka hän ei ollut iPhonen vahvistuskoodia vahvistanut. Kun asiakas kirjautui itse Samsung-puhelimella mobiilipankkiin uudelleen, hän huomasi, että rahat oli varastettu.

Asiakas kuvitteli myös aidosti kirjautuvansa Matkahuollon sivustolle, joten vika ei myöskään ole hänen huolimattomuudessaan. Asiakas ei mielestään ole toiminut törkeän huolimattomasti, sillä hän on huomioinut saamiensa viestien sisällöt ja pankin varoitukset, joiden takia myös soitti sulkupalveluun. Asiakas on toiminut huolellisesti eikä piittaamattomasti viestiä kohtaan, jonka huomasi tulleen. Asiakas ei ollut tapahtumahetkellä itse ottamassa käyttöön mobiilisovellusta uudella laitteella, joten hän kyseenalaisti viestin sisällön, eikä ottanut vahvistuskoodia käyttöön. Asiakkaan mielestä pankki ei voi käyttää törkeä huolimattomuus -termiä tapahtuneesta, sillä asiakas sulki kaikki pankkipalvelut heti ja teki rikosilmoituksen. Asiakaspalvelija sulki pankkitunnukset heti ja sanoi, että asiakas toimi oikein. Asiakkaan mielestä hän ei ole vastuussa huijauksesta, sillä hän on toiminut heti oikein ja ilmoittanut huijauksesta pankille heti, kun huomasi tapahtuneen eli alle viidessä minuutissa. Pankin tulisi siis käsitellä tämä asia asiakkaan hyväksi, sillä ilmoitus on tehty heti eli on pankin vastuulla estää väärinkäytökset ja palauttaa varat. Asiakas on ymmärtänyt, että Suomessa asiakas ei ole vastuussa maksuvälineidensä väärinkäytöstä, jos hän ei ole ollut huijauksen osapuoli. Jos huijaus havaitaan ja ilmoitetaan pankille nopeasti (yleensä kahden arkipäivän kuluessa), pankki katsoo asiakkaan toimineen asianmukaisesti, ja omavastuu voi olla hyvin pieni tai olematon. Tämä käytäntö on linjassa EU:n maksupalveludirektiivin kanssa, joka rajoittaa asiakkaan vastuun määrää.

Jos huijaus on tapahtunut ja asiakas on ilmoittanut siitä pankille viivytyksettä, asiakas ei ole vastuussa vahingoista. Jos asiakas ei ilmoita huijauksesta heti, pankki saattaa periä omavastuun (esimerkiksi 50 euroa tai enemmän), mutta tämä omavastuu on rajoitettu ja voi nousta korkeimmillaan muutamaan sataan euroon, mikäli huijaus on jatkunut pidempään.

Asiakkaan puolia pitäisi puoltaa myös se, että hän ei ole koskaan siirtänyt rahaa ulkomaille tai tuon nimiseen pankkiin, johon rahat lähtivät. Asiakas ei ole koskaan myöskään tilannut mitään ulkomailta. Netistä asiakas on ostanut vain Suomesta, eikä ostosumma ole koskaan ylittänyt satoja euroja eikä varsinkaan tuhansia. Asiakkaan mielestä, jos yhtäkkiä yritetään siirtää rahaa 10 000 euroa, pankin olisi pitänyt pysäyttää tämä maksu välittömästi, kunnes olisi ottanut yhteyttä asiakkaaseen. Siirto oli niin suuri, että pankin olisi pitänyt huomata huijaus. Pankki on suoraan sanoen mahdollistanut ison siirron asiakkaan tililtä pois, jota hän ei ole itse tehnyt.

Asiakas ihmettelee, miksi pankki ei yrittänyt keskeyttää tuota laitonta rahansiirtoa, sillä asiakas ilmoitti pankille asiasta heti. Asiakkaan mielestä pankki on tällöin vastuussa hävinneistä rahoista, sillä asiakas oli toiminut täysin oikein. Asiakkaan mielestä tässä kohtaa pankki on jo toiminut epäluotettavasti sekä epäasiallisesti asiakasta kohtaan. Asiakkaasta tuntuu enemmänkin siltä, että kukaan ei ole tässä asiassa hänen puolellaan, sillä ainoastaan katsotaan paperilla olevia tietoja eikä niinkään uhrin puolia tai näkemyksiä.

Pankin vastine

Asiakkaan toimittamassa tutkintailmoituksessa ja korvaushakemuksessa kertomansa mukaan, asiakas oli myymässä Facebookin kautta neljä euroa maksavaa paitaa X:lle. Tämä ostaja ilmoitti maksavansa Matkahuollon kautta postikulut ja kertoi asiakkaan saavan sitä kautta neljä euroa tililleen, kun laittaa tietojaan linkkiin. Asiakas avasi saadun linkin, jonne kirjautui pankkitunnuksillaan. Asiakkaan kertoman mukaan kirjautumisen aikana hänen pankkitunnuksensa vietiin.

Asiakas kertoo, että ensin säästötililtä siirrettiin käyttötilille 10 665 euroa, jonka jälkeen käyttötililtä siirrettiin 10 000 euroa Trustly Group AB:lle. Asiakas soitti heti pankin sulkupalveluun, kun tajusi rahojen kadonneen.

Pankki on lukinnut asiakkaan käyttäjätunnukset turvallisuussyistä 13.11.2024 klo 15:50:26.

Asiakas kertoo kyllä saneensa pankilta varmistusviestin, jota ei vahvistanut koska viestissä oleva iPhone ei ollut hänen. Asiakkaan itse kertoman mukaan hän ei olisi vahvistanut mitään siirtoja, eikä niistä tullut vahvistusviestejä eikä hän olisi hyväksynyt maksuja. Asiakas ei kuitenkaan ole esittänyt vaihtoehtoista tapahtumakulkua tapahtuneelle, että miten vahvistuskoodi uuden pankin tunnistussovelluksen aktivoinnista olisi päätynyt rikollisille, jos hän ei ole itse koodia syöttänyt valesivustolle. Asiakas ei myöskään ole ottanut kantaa hänen puhelinnumeroonsa jo klo 11.01 lähetettyyn englanninkieliseen tekstiviestiin, jossa on kerrottu, että hänen käyttäjätunnuksellaan ollaan aktivoimassa uutta pankin tunnistussovellusta. Tämä aktivointi on vaatinut luvun avainlukulistalta, joka on ollut asiakkaan omassa hallussa. Jos asiakas olisi ottanut viesteissä olevien ohjeiden mukaisesti yhteyttä pankkiinsa ja tiedustellut menettelyn asianmukaisuutta, olisi pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Pankin selvityksen mukaan asiakkaan -XX loppuiselta käyttötililtä on 13.11.2024 siirretty -XX loppuiselle käyttötilille 10 665 euroa. Tämän jälkeen tältä tililtä on siirretty 10 000 euroa saajalle Trustly Group AB.

Tilisiirto on tehty seuraavin tiedoin:

Pvm.              13.11.2024 klo 15:36
Summa         10 000,00 euroa
Saaja             Trustly Group AB
saajan tili      FIXX XXXX XXXX XXXX XX

Pankki on lähettänyt 13.11.2024 asiakkaan tunnuksiin liitettyyn puhelinnumeroon turvallisuussyistä tekstiviestejä:

13.11.2024 klo 10.58.57

”Olet kirjautumassa tunnuksillasi [pankin] verkkopalveluun. Vahvista kirjautuminen avainlukulistan 6. avainluvulla. [pankki]”
(ei vahvistettu)

13.11.2024 klo 11.01.35

“Your user ID is being used now to enable a new [pankin tunnistussovellus] on a phone named puhelin. Enabling is blocked for security reasons for 4 hours. After that, you'll have 24 hours to enable [pankin tunnistussovellus]. If it isn't you who is now enabling [pankin tunnistussovellus], contact [pankki] Deactivation Service, as your personal information is at risk. [pankki]”
(kirjautuminen vahvistettu avainluvulla)

13.11.2024 klo 15.28.40

”LUE HUOLELLA! Tunnuksillasi ollaan ottamassa käyttöön [mobiilipankkia] ja [pankin tunnistussovellusta] puhelimessa, jonka nimeksi olet antanut iPhone XR. VARO HUIJAUKSIA! Alä anna koodia kenellekään tai millekään verkkosivulle. Jos toimit ohjeen vastaisesti, rikollinen voi saada käyttöönsä pankkitunnuksesi ja tehdä maksuja pankkitileiltäsi sekä asioida nimissäsi kaikissa tunnistautumista vaativissa digipalveluissa. Jos epäilet huijausta, ilmoita asiasta heti [pankki] Sulkupalveluun. Väärinkäytösten estämiseksi jatka vain, jos olet itse ladannut sovelluskaupastasi [mobiilipankin] ja olet ottamassa uutta [pankin tunnistussovellusta] käyttöön. Vahvista käyttöönotto puhelimessasi koodilla [XXXXX] vain [mobiilipankissa]. [pankki]” (kirjautuminen pankin tunnistussovelluksen aktivointia varten vahvistettu avainlukulistalla)

13.11.2024 klo 15.36.06

”LUE HUOLELLA! Tunnuksillasi ollaan ottamassa käyttöön [mobiilipankkia] ja [pankin tunnistussovellusta] puhelimessa, jonka nimeksi olet antanut samsung. VARO HUIJAUKSIA! Alä anna koodia kenellekään tai millekään verkkosivulle. Jos toimit ohjeen vastaisesti, rikollinen voi saada käyttöönsä pankkitunnuksesi ja tehdä maksuja pankkitileiltäsi sekä asioida nimissäsi kaikissa tunnistautumista vaativissa digipalveluissa. Jos epäilet huijausta, ilmoita asiasta heti [pankki] Sulkupalveluun. Väärinkäytösten estämiseksi jatka vain, jos olet itse ladannut sovelluskaupastasi [mobiilipankin] ja olet ottamassa uutta [pankin tunnistussovellusta] käyttöön. Vahvista käyttöönotto puhelimessasi koodilla [XXXXX] vain [mobiilipankissa]. [pankki]”

Asiakkaan tunnuksilla on otettu käyttöön uusi pankin tunnistussovellus 13.11.2024 klo 15.30, jolla nyt reklamoitu tilisiirto klo 15.36 on vahvistettu. Viestissä pyydetty pankin tunnistussovelluksen liitos on hyväksytty ja edellä mainittu oikeudeton tapahtuma on vahvistettu kyseisellä pankin tunnistussovelluksella. Näin ollen ulkopuolisen on täytynyt saada haltuunsa tekstiviestissä pyydetty koodi XXXXX.

Tapauksessa väärinkäytös on toteutettu hyödyntäen uuteen laitteeseen asennettua uutta pankin tunnistussovellusta. Jotta pankin tunnistussovellus on ollut mahdollista aktivoida, on aktivoijalla tullut olla tiedossaan asiakkaan verkkopankkitunnusten kaikki osat mukaan lukien vaihtuva paperisen avainlukulistan numero. Lisäksi aktivoija on saanut tietoonsa tunnuksiin liitettyyn puhelinnumeroon lähetetyn vahvistustekstiviestin, joka sisälsi koodin ja tiedon siitä, mitä koodilla ollaan tekemässä. Viestistä käy ilmi, että tunnuksilla ollaan aktivoimassa uutta pankin tunnistussovellusta, eikä koodia tule antaa ulkopuoliselle. Viimeistään luovuttaessaan koodin huijaussivustolle tai muutoin ulkopuoliselle asiakkaan olisi tullut ymmärtää, että tämä poikkeaa normaalista kirjautumisesta pankin palveluihin ja jättää koodi antamatta. Koodia ei ole voinut saada mistään muualta kuin asiakkaalle toimitetusta tekstiviestistä. Pankki ei ole voinut estää maksutapahtumaa koska pankilla ei ole ollut tietoa huijauksesta.

Pankki on useaan otteeseen varoittanut asiakkaitaan erilaisista tietojenkalasteluista. Pankki katsoo, että yleisen tietämyksen ja pankin antamien varoitusten perusteella asiakkaan tulisi olla tietoinen tunnusten turvallisesta ja huolellisesta käytöstä. Pankki on aina korostanut, ettei tunnuksen osia saa luovuttaa ulkopuolisille, ei edes perheenjäsenille. Pankki on ohjeistanut asiakkaitaan olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistanut, ettei verkkopankkiin saa kirjautua sähköpostitse tai tekstiviestillä tulleen linkin kautta. Lisäksi pankki on ohjeistanut lukemaan aina huolella vahvistuspyynnöt. Pankin ohjeistuksen mukaan mitään sellaista tapahtumaa, jota ei tunnista tehneensä, ei tule vahvistaa.

Asiakas vastaa verkkopalvelutunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos oikeudeton käyttö johtuu siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja verkkopalvelutunnusten yleisten ehtojen mukaisia velvollisuuksiaan, ja asiakkaan huolimattomuuden katsotaan olevan törkeää. Asiakas vastaa verkkopalvelutunnusten huolellisesta säilyttämisestä, koska viime kädessä ainoastaan maksuvälineenhaltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän maksuvälinettään säilyttää ja käyttää.

Asiakas on kysynyt maksunpalautuspyynnöstä ja kokee, ettei pankki ole kunnolla selittänyt miksi varoja ei saatu takaisin. Maksunpalautuspyyntö on tehty 14.11.2025, mutta maksua ei saatu takaisin. Maksutoimeksianto on tehty ja vahvistettu maksupalvelulain mukaisesti. Maksutoimeksianto on sen vahvistamisen jälkeen peruuttamaton ja kaikki maksujärjestelmän osapuolet voivat luottaa siihen, että varat siirtyvät sovitun mukaisesti. Maksun sitovuudesta säädetään maksupalvelulain 81 §:ssä. Jälkikäteisten maksunpalautuspyyntöjen onnistumista ei voida taata missään olosuhteissa koska palautus ei ole enää maksajan pankin vaikutuspiirissä.

Pankki katsoo ensisijaisesti, että asiakas on antanut maksuille maksupalvelulain mukaisen suostumuksen eikä kysymys ole siten oikeudettomasta maksutapahtumasta. Toissijaisesti, tapaukseen liittyvät yksityiskohdat ja kokonaisarviointi huomioon ottaen, pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti. Asiakkaan on täytynyt luovuttaa pankin tunnistussovelluksen aktivointikoodi ulkopuoliselle. Se nimenomaan käskettiin luovuttaa mobiiliin, eikä mihinkään muualle. Pankki ei näin ollen ole vastuussa aiheutuneesta vahingosta.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin tunnus- ja digisopimuksen ehdot (18.11.2022)

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain (290/2010) 38 §:n 1 momentin mukaan

Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Maksupalvelulain 53 §:n 1 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Maksupalvelulain 54 §:n 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelulain 62 §:n mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n 1 momentin mukaan

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin tunnus- ja digisopimusehtojen Tunnusten säilyttäminen ja sallitun käytön rajoitukset -kohdan mukaan

Sinulle luovutettu tunnus on henkilökohtainen. Tunnusta tai sen osaakaan ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos annat tunnuksen kolmannelle, vastaat kolmannen nimissäsi tekemistä toimista.

Tunnuksilla ei saa tunnistautua palveluihin, joita tarjoaa tai jossa määräysvaltaa käyttää kansainvälisten pakotteiden kohteena oleva taho. Tunnuksia ei saa myöskään käyttää lain tai hyvä tavan vastaisiin tarkoituksiin taikka muuten [pankin] julkaisemien yhteiskuntavastuu-vaatimusten vastaisella tavalla.

Tunnusta tai osaa niistä et koskaan saa:

  • kertoa suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessasi [pankin] puhelinpalveluun näppäilet tunnuksen omaan puhelimeesi, samoin näppäilet tunnuksen puhelimeesi, jos haluat varmentaa sinulle tulevan puhelun olevan [pankin] soittama;
  • luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille.;
  • antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella etkä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.
  • Käyttäjätunnuksen ja salasanan sisältävä kalvo tai muu, jolla tunnuksen osat on luovutettu, on hävitettävä eikä käyttäjätunnusta tai salasanaa saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon. Jos Tunnukset on luovutettu sähköisesti, sinun tulee itse suojata tunnukset ja varmistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisilla ja, että tiedot eivät jää ulkopuolisten saataville.

Sinun tulee säilyttää tunnustasi ja sen osia huolellisesti ja erillään toisistaan siten, ettei kenelläkään ulkopuolella, ei edes samaan perheeseen kuuluvalla tai niiden käyttöön oikeudettomalla yrityksen työntekijällä ole mahdollisuutta saada niitä tietoonsa. Tunnuksen osia ei saa säilyttää samassa säilytyspaikassa kotona, eikä esimerkiksi lompakossa tai käsilaukussa.

Sinun on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että Tunnus ja sen osat ovat tallessa.

Sinun tulee kirjautuessasi [pankin] digitaalisiin palveluihin suojata laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla tunnusta käytetään siten, ettei kenelläkään ole mahdollisuutta saada tunnusta tai sen osia tietoonsa.

[Pankin] digitaalisia palveluita ei saa käyttää tietokoneella tai muulla laitteella, jossa on havaittu tai epäillään olevan haittaohjelma. Et saa myöskään luovuttaa tietokoneesi tai muun laitteesi etäkäyttöä ulkopuolisille, kun käytät laitteella tunnustasi tai sen osia.

Pankin tunnus- ja digisopimusehtojen Sinun tulee ilmoittaa tunnuksen katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan

Sinun on välittömästi ilmoitettava [pankille] tunnuksen tai sen osan katoamisesta tai joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka, jos epäilet niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun.

Voit tehdä ilmoituksen puhelimitse [pankin] osoitteessa [pankki].fi ilmoitettuun sulkupalvelun puhelinnumeroon (24h/7vrk). [Pankin] asiakaspalvelun aukioloaikoina ilmoituksen voi tehdä myös puhelimitse [Pankin] ilmoittamaan puhelinnumeroon tai asioimalla henkilökohtaisesti [pankin] toimipaikoissa.

[Pankin] hyväksymien muiden tunnistusvälineiden ja varmenteiden osalta ilmoitus katoamisesta tehdään tunnistusvälineen tai varmenteen käyttöehtojen mukaisesti.

Pankin tunnus ja digisopimusehtojen Vastuu, kun olet kuluttaja-asiakas-kohdan mukaan

Vastaat Tunnusten oikeudettomasta käytöstä, jos
1. olet luovuttanut tunnuksesi niiden käyttöön oikeudettomalle,
2. tunnuksen tai sen osan katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu omasta huolimattomuudestasi tai siitä, että olet laiminlyönyt näiden ehtojen 16. tai 17. kohdan mukaiset velvollisuutesi tai
3. sinä et ole ilmoittanut [pankille] tai tunnusten Sulkupalveluun 16.1.1. kohdan mukaisesti tunnusten katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä ilman aiheetonta viivästystä sen havaittuasi ja välittömästi sen jälkeen, kun sinun olisi pitänyt havaita tunnuksesi oikeudeton käyttö. Sinun katsotaan tiliehtojen mukaan saaneen tiedon maksutapahtumasta viimeistään seitsemäntenä päivänä siitä, kun [pankki] on antanut sinulle tiedon maksutapahtumasta [pankin] digitaalisissa palveluissa tai lähettänyt sinulle paperisen tiliotteen.

Vastaat tunnuksen oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos olet luovuttanut tunnuksesi niiden käyttöön oikeudettomalle.

Asian arviointi

Tapahtumienkulku

Pankki on tapauksessa esittänyt selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin tunnistussovelluksen, jolla riidanalaiset maksutapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo selvitetyksi, että asiakas saanut Matkahuollon nimissä linkin Facebookissa ostajaksi tekeytyneeltä henkilöltä ja klikannut linkkiä. Asiakas on kirjautumistarkoituksessa syöttänyt linkistä auenneelle valesivulle pankkitunnuksensa, jotka ovat sitä kautta päätyneet rikollisten tietoon. Rikolliset ovat ladanneet laitteelleen ensin pankin tunnistussovelluksen ja aloittaneet sen käyttöön ottamisen asiakkaan pankkitunnuksia käyttäen. Pankki on tämän johdosta lähettänyt 13.11.2024 klo 11.01.35 asiakkaalle tekstiviestin pankin tunnistussovelluksen käyttöön ottamisesta. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:

“Your user ID is being used now to enable a new [pankin tunnistussovellus] on a phone named puhelin. Enabling is blocked for security reasons for 4 hours. After that, you'll have 24 hours to enable [pankin tunnistussovellus]. If it isn't you who is now enabling [pankin tunnistussovellus], contact [pankki] Deactivation Service, as your personal information is at risk. [pankki]”

Pankkilautakunta katsoo riidattomaksi, että muutama tunti tämän jälkeen rikolliset ovat ladanneet laitteelleen pankin mobiilipankin ja aloittaneet mobiilipankin ja pankin tunnistussovelluksen käyttöön ottamisen asiakkaan pankkitunnuksia käyttäen. Pankki on tämän johdosta lähettänyt 13.11.2024 klo 15.28.40 asiakkaalle tekstiviestitse sovellusten käyttöön ottamisen edellyttämän vahvistuskoodin. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:

”LUE HUOLELLA! Tunnuksillasi ollaan ottamassa käyttöön [mobiilipankkia] ja [pankin tunnistussovellusta] puhelimessa, jonka nimeksi olet antanut iPhone XR. VARO HUIJAUKSIA! Alä anna koodia kenellekään tai millekään verkkosivulle. Jos toimit ohjeen vastaisesti, rikollinen voi saada käyttöönsä pankkitunnuksesi ja tehdä maksuja pankkitileiltäsi sekä asioida nimissäsi kaikissa tunnistautumista vaativissa digipalveluissa. Jos epäilet huijausta, ilmoita asiasta heti [pankki] Sulkupalveluun. Väärinkäytösten estämiseksi jatka vain, jos olet itse ladannut sovelluskaupastasi [mobiilipankin] ja olet ottamassa uutta [pankin tunnistussovellusta] käyttöön. Vahvista käyttöönotto puhelimessasi koodilla [XXXXX] vain [mobiilipankissa]. [pankki]”

Lautakunta katsoo asiassa näytetyksi asiakkaan kiistämisestä huolimatta, että myös viestissä ollut vahvistuskoodi on päätynyt rikollisten tietoon siten, että asiakas on syöttänyt sen valesivuille. Rikolliset ovat koodin saatua voineet aktivoida käyttöönsä pankin mobiilipankin ja tunnistussovelluksen, joilla riidanalaiset maksutapahtumat on tämän jälkeen tehty.

Asiakkaan menettelyn arviointi

Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten luovuttaminen tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin pankin hyväksymille palveluille ja sovelluksille sekä verkkopankkitunnusten antaminen sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella. Ehdoissa kielletään myös kirjautuminen pankin digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.

Asiakkaan syötettyä pankkitunnustietojaan maksun vastaanottamista varten hänelle entuudestaan tuntemattoman henkilön lähettämän linkin kautta avautuneilla sivuilla Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n sekä pankkitunnusehtojen mukaisia velvollisuuksiaan. Vaikka asiakkaan kertoman mukaan linkin kautta avautuneet sivut näyttivät aidoilta Matkahuollon sivuilta, lautakunta katsoo asiakkaan menettelyn pankkitunnusten syöttämisen johdosta osoittavan hänen vakavaa varomattomuuttaan.

Pankkilautakunta katsoo, että saatuaan tavanomaisesta pankkitunnuksilla tehtävästä tunnistautumis- tai kirjautumistilanteesta poikkeavalla tavalla pankin tunnistussovelluksen vahvistuskoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa koodi laittamatta verkkosivuille. Lautakunta katsoo, että em. tekstiviestissä kerrotaan asianmukaisesti, mihin viestissä ollutta vahvistuskoodia käytetään, ja toisaalta varoitetaan huijauksista. Mikäli asiakas olisi tuossa tilanteessa ottanut viestissä olleen ohjeen mukaisesti yhteyttä pankkiinsa ja tiedustellut menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä. 

Asiakas on kiistänyt luovuttaneensa tekstiviestissä ollutta vahvistuskoodia ulkopuolisille, mutta lautakunta on jo edellä katsonut, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että asiakas on syöttänyt viestissä olleen koodin valesivuille. Kyseistä tekstiviestissä ollutta vahvistuskoodia on käytetty uuden pankin tunnistussovelluksen aktivointiin. Asiakas ei ole myöskään esittänyt näyttöä vaihtoehtoisesta tapahtumienkulusta sen osalta, miten vahvistuskoodi on päätynyt ulkopuolisille.

Aiemman ratkaisukäytäntönsä mukaisesti Pankkilautakunta katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Tässä tapauksessa – asiakkaan syötettyä ensin pankkitunnustietojaan hänelle lähetetyn linkin kautta avautuneilla sivuilla – asiakkaan olisi tullut asiointinsa seuraavissa vaiheissa kiinnittää erityistä huomiota siihen, mitä pankki hänelle viestii ja mihin viestissä ollutta koodia on tarkoitus käyttää. Pankkilautakunta katsookin, että asiakkaan syötettyä linkin kautta avautuneille sivuille pankkitunnusten syöttämisen jälkeen vielä pankin tekstiviestitse lähettämän koodin mahdollisesti lukematta tekstiviestin sisältöä tai ainakin sen sisältöä huomioimatta on asiakkaan menettelyn kokonaisuutena katsottava osoittavan hänen suhtautuvan selvästi piittaamattomasti pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan. Ottaen huomioon pankkitunnusten syöttämisen sovellettavien ehtojen vastaisesti linkin kautta avautuneille sivuille sekä pankin tekstiviestitse lähettämän vahvistuskoodin syöttämisen em. sivustolle tekstiviestin sisältöä ymmärtämättä, lautakunta katsoo asiakkaan menettelyn kokonaisuutena arvioiden osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Näin ollen asiakkaan ja pankin välisessä suhteessa asiakas vastaa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Pöntinen

Jäsenet:
Atrila
Ketola
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä