Tapahtumatiedot
Pankin selvityksen mukaan Android-laitteelle on ladattu ja aktivoitu 13.2.2025 klo 19.12 asiakkaan nimissä oleva pankin mobiilisovellus. Tämä on edellyttänyt asiakkaan pankkitunnusten käyttäjätunnusta, salasanaa ja tiettyä tunnuslukua tunnuslukulistasta sekä vahvistuskoodia, jonka pankki on lähettänyt tekstiviestitse klo 19.12 asiakkaan puhelinnumeroon. Viestin sisältö on ollut seuraavanlainen:
TÄRKEÄÄ! [Pankin] verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellus] -sovellusta uudessa laitteessa. VARO HUIJAUKSIA! ÄLÄ ANNA VAHVISTUSKOODIA KENELLEKÄÄN TAI MILLEKÄÄN VERKKOSIVUILLE. HUIJAUSSIVUSTOT VOIVAT NÄYTTÄÄ [PANKIN] SIVUILTA. Koodia käytetään vain [pankin mobiilisovellus]-sovelluksen käyttöönottoon. Jos et ole itse ottamassa [pankin mobiilisovellusta] käyttöön, älä käytä koodia ja poista tämä viesti. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi 2493 laitteesi [pankin mobiilisovellus] -sovellukseen. Jos epäilet antaneesi verkkopankkitunnuksesi huijaussivulle, soita heti sulkupalveluun 09 xxxx xxxx (pvm/mpm). Terveisin [Pankki]
Em. mobiilisovellusta käyttäen asiakkaan tililtä on tehty 14.2.2025 klo 7.37-7.41 viisi tilisiirtoa ulkopuoliselle yhteisarvoltaan 4.352,08 euroa. Lisäksi asiakkaan Visa-luotolta on klo 7.40 tehty 342,28 euron siirto asiakkaan tilille.
Asiakas on sulkenut pankkitunnuksensa sulkupalvelussa 14.2.2025 klo 11.43.
Asiakkaan valitus
Asiakas haluaa, että pankki korvaa lyhentämättömänä summan, joka tililtä on varastettu, ja palauttaa Visa-kortille varat sekä maksaa varkaudesta aiheutuneet ylimääräiset kulut myöhemmän erittelyn mukaisesti.
Asiakkaalla on kaikki syy uskoa, että tapauksessa kyse on pankin järjestelmän pettämisestä ja siten törkeästä huolimattomuudesta pankkitoiminnassa eli asiakkaan rahojen turvallisessa säilyttämisessä. Asiakas onkin tehnyt myös pankin toiminnasta rikosilmoituksen. Pankki väittää, että se on asiakkaalle tekstiviestillä ilmoittanut "epäilyttävältä toiminnasta tililläsi" 13.2.2025. Ryöstö tapahtui 14.2.2025, mutta pankin ilmoitus asiasta tuli 17.2.2025 kello 17:23. Asiakas epäilee, että pankki yrittää välttää korvausvelvollisuutensa lähettämällä ko. kaltaisen viestin jälkikäteen sillä oletuksella, ettei asiakas järkyttyneenä ymmärtäisi asiassa ristiriitaa.
Asiakas ei ole ikinä käyttänyt pankkitunnuksiaan mihinkään muuhun kuin pankkiin kirjautumiseen. Muihin palveluihin hän käyttää ainoastaan mobiilivarmennetta. 13.2 ei kukaan eikä mikään taho lähestynyt asiakasta tunnuksia urkkien. Sähköpostiin tuli aivan tavalliset pari kolme huijausyritystä, mutta ne asiakas poistaa kategorisesti. Myöskään kirjallisiin pankkitunnuksiin ei ole kukaan voinut mitenkään päästä käsiksi, koska ne ovat lukkojen takana asekaapissa aina, ellei tunnuslukutaulukko ole asiakkaan mukana kaupankäyntiä varten, sillä hän ei luota mobiilimaksamiseen. Ko. viikolla kodissa ei käynyt edes vieraita eikä mitään murto tms. jälkiä ollut missään. Asiakas ei ole kadottanut tunnuksiaan tai ilmaissut niitä mitenkään kenellekään toiselle ikinä missään tilanteessa, ei edes puolisolleen. Asiakas ei ole koskaan myöskään käyttänyt mitään epäilyttävää verkkosivustoa tai sähköpostia, ei ladannut haittaohjelmia, eikä toiminut tavalla, jota voisi pitää huolimattomana. Asiakas ei ole asentanut pankin mobiilisovellusta eikä ole ollut tietoinen sen käyttöönotosta ennen kuin tililtä oli jo varattu varoja.
Asiakas on käynyt poliisin kanssa läpi kaikki selaimensa tapahtumat tuolta ajalta, eikä tallenteista löytynyt mitään, joka olisi ollut sellainen esim. haittaohjelma, joka olisi voinut murtautua asiakkaan tilille. Poliisi ei myöskään epäile asiakasta väärästä ilmoituksesta eikä ole todennut, että asiakas olisi itse syyllistynyt huolimattomuuteen.
13.2. ei tapahtunut mitään erikoista, mutta asiakas kirjautui kerran pankkiin. Asiakas kirjautui aivan normaalisti ottamalla QR-koodin kännykällä verkkoselaimesta. Tässä yhteydessä hän sai kolme kertaa ilmoituksen ”error 257”. Vasta neljännellä kerralla asiakas pääsi sisään ja sai viestin jätettyä ja se viesti todella näkyi pankin sivuilla, kun asiakas sen varmisti. Mitään muuta kirjautumista ei tuolta päivältä voi asiakkaan nimissä olla, eikä asiakas kirjautunut enää mihinkään muualle pankkitunnuksillaan. Ylipäätään muuhun kuin kirjautumiseen pankkiin asiakas käyttää vain mobiilivarmennetta. Tuo ”error 257” oli sinänsä uutta ja erikoista, mutta koska pankin kirjautumisessa on usein ongelmia ja oikeastaan vain harvoin pääsee kirjautumaan QR-koodilla, asiakas ei pitänyt sitä mitenkään erikoisena. Varmemmin pankin sivuille pääsee tunnuslukutaulukolla, mutta tuolloin pääsi neljännellä yrittämällä ja siis QR-koodilla.
Pankin toimet ovat muutenkin aivan käsittämättömiä. Kun asiakas huomasi rosvouksen, joutui hän jonottamaan noin n. 2 tuntia puhelimessa, että sai jonkun asiakaspalvelusta vastaamaan puheluun, josta ei saanut minkäänlaista järkeenkäypää ohjeistusta saatikka myötätuntoa.
Asiakkaalla ei ole mitään käsitystä, missä on tai edes voisi olla se kohta päivässä tai kyseisellä viikolla, jolloin tunnukset olisi anastettu. Mitään poikkeuksellista ei ollut tapahtunut ennen 14.2. Siksi asiakas ihmettelee pankin kantaa. Jollain tapaahan pankin oma järjestelmänsä on pettänyt eikä se ole pystynyt säilyttämään asiakkaan rahoja pankkilain edellyttämällä tavalla, jos kerta kaikista asiakkaan varotoimista huolimatta joku on saanut tunnukset haltuunsa.
Pankki ilmoittaa lähettäneensä asiakkaalle viestin epätavallisesta toiminnasta tilillä 13.2.2025 klo 19.12. Todistetusti asiakas sai tuo viestin vasta 17.2. (teletiedot, jotka ovat poliisilla ja teleyhtiöllä), kun vahinko oli jo tapahtunut. Asiakas on myös toimittanut kuvakaappauksen 17.2. saamastaan viestistä. Asiakas ei siis voinut reagoida viestiin ajoissa. Viesti on juuri sama, jonka pankki vastineessaan kertoo koodilla ”2493”, joten asiakkaan on ollut mahdotonta olla tietoinen pankin viestistä 13.–14.2. Itse asiassa tietohallintoasiantuntijan mukaan on täysin mahdollista, että pankki on muuttanut omissa järjestelmissään tuota päivämäärää omassalog-tiedostossaan.
Tililtä tehtiin luvattomia siirtoja 14.2., joista asiakas ei saanut mitään reaaliaikaista ilmoitusta tai varmistusviestiä. Asiakas ei voinut estää tapahtunutta, kun sai pankin ilmoituksen vasta useita päiviä jälkikäteen.
Asiakas katsoo, että pankilla on ollut velvollisuus suojata asiakkaan varat ja reagoida havaitsemaansa epätavalliseen toimintaan nopeasti ja tehokkaasti. Luottolaitoslaki (610/2014) edellyttää mm., että pankkien on toimittava luotettavasti, asiakasvaroja suojellen ja jokainen ymmärtää ettei tässä tapauksessa näin ole toimittu. Lisäksi pankki on jo aiemmin toiminut huolimattomasti ja saanut aiheesta jopa satojen tuhansien eurojen sakon. Pankilla on huolellisuusvelvoite, jota pankki ei ole aiemmissakaan toimissaan noudattanut, joten asiakas ei juuri ihmettele osalleen sattunutta täysin selittämätöntä ryöstöä.
Pankin järjestelmässä on ollut myös vakava tietoturvahaavoittuvuus. Tietosuojavaltuutetun toimisto on määrännyt pankille 1,85 miljoonan euron seuraamusmaksun pankin mobiilisovelluksen tietoturvapuutteista. Vuonna 2022 sovelluksessa oli ohjelmistovirhe, jonka vuoksi toisen asiakkaan tunnuksilla saattoi kirjautua palveluihin. Tämä osoittaa, että pankin järjestelmä ei ole ollut riittävän turvallinen, ja näin ollen asiakas ei voi olla vastuussa pankin teknisistä puutteista.
FINE:n linjausten mukaan asiakas ei ole automaattisesti vastuussa vahingosta, jos hän ei ole toiminut huolimattomasti. Koska asiakas ei ole luovuttanut tunnuksiaan, eikä syöttänyt vahvistuskoodia, ei hän ole toiminut huolimattomasti.
Asiakas pyytää FINEä ottamaan huomioon edellä mainitut seikat ja arvioimaan pankin vastuun kokonaisuutena. Asiakkaan suoja ei voi perustua pelkästään pankin hypoteeseihin, vaan pankin omien järjestelmien turvallisuuteen ja viestinnän ajoitukseen sekä konkreettisiin toimenpiteisiin asiakkaiden talletussuojan takaamiseksi.
Pankin vastine
Asiakas reklamoi alla olevia tilisiirtoja tililtään:
14.02.2025 kello 07:41 TILISIIRTO X -389,70 euroa
14.02.2025 kello 07:39 TILISIIRTO X -990,52 euroa
14.02.2025 kello 07:39 TILISIIRTO X -990,52 euroa
14.02.2025 kello 07:38 TILISIIRTO X -990,67 euroa
14.02.2025 kello 07:37 TILISIIRTO X -990,67 euroa
Hän reklamoi myös alla olevaa Visa-luotolta siirtoa:
14.02.2025 kello 07:40 LUOTOLTA SIIRTO 348,28 euroa
Reklamoitava summa yhteensä 4.352,08 euroa.
Pankki ei valitettavasti voi hyvittää reklamoituja tapahtumia. Pankki on tutkinut reklamoitujen tapahtumien tekniset tiedot taustajärjestelmistään. Kaikki reklamoidut tapahtumat on vahvistettu pankin mobiilisovelluksella, joka on ladattu laitteelle Tuntematon Android-laite 13.2.2025 klo 19.12. Asiakas kertoo itse käyttävänsä pankin mobiilisovellusta laitteella iPhone 16.
Pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja koodi tunnuslukutaulukosta sekä tekstiviestillä lähetetty vahvistuskoodi. Tunnuslukutaulukko, jota mobiilisovelluksen käyttöönotossa on käytetty, on vain asiakkaan hallussasi. Pankilla ei ole tunnuslukutaulukoita tai niiden sisältämiä tunnuksia, jotka sivullinen voisi saada haltuunsa.
Pankki on lähettänyt sovelluksen käyttöönottoon tarvittavan vahvistuskoodin asiakkaalle tekstiviestillä 13.2.2025 kello 19.12 asiakkaan numeroon. Jotta pankin mobiilisovelluksen käyttöönotto on onnistunut Android-laitteessa, on tämä tekstiviestillä asiakkaalle lähetetty koodi täytynyt myös syöttää sovellukseen. Jos asiakas ei tässä yhteydessä ole käyttänyt tunnuksiaan itse, hänen on täytynyt luovuttaa ne ulkopuoliselle.
Asiakas on kiistänyt vastaanottaneensa tätä tekstiviestiä ja kertoo saaneensa 17.2.2025 klo 17.23 viestillä vahvistuskoodin. Asiakkaan 17.2.2025 saama tekstiviesti pankin mobiilisovelluksen käyttöönotosta on koskenut eri laitetta, jolla asiakkaan reklamoimat maksut on vahvistettu. 17.2.2025 lähetettyä vahvistuskoodia on käytetty IOS-laitteen käyttöönotossa.
Asiakas on sulkenut pankkitunnuksensa sulkupalvelussa 14.2.2025 klo 11.43. Reklamoidut tapahtumat on tehty 14.2.2025 kello 07.37-07.41 välisenä aikana. Kaikki reklamoidut tapahtumat on tehty ennen pankkitunnusten sulkuilmoitusta.
Pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset ja tekstiviestillä lähetetty vahvistuskoodi. Asiakas kiistää kuitenkin antaneensa tunnuksiaan minnekään tai vastaanottaneensa puhelinnumeroonsa lähetettyä vahvistuskoodia.
Tapahtuneessa jää olennaisilta osin epäselväksi, miten pankin mobiilisovelluksen lataamiseen tarvitut henkilökohtaiset verkkopankkitunnukset ja tekstiviestillä lähetetty vahvistuskoodi ovat päätyneet ulkopuolisen haltuun.
Pankki pahoittelee tapahtunutta, mutta kokonaisuus huomioon ottaen katsoo tapahtumien jäävän asiakkaan vastuulle. Pankki katsoo, että jos asiakas ei ole itse hyväksynyt reklamoituja tapahtumia, ei pankki pidä mitään muuta mahdollisena, kuin että asiakas on luovuttanut verkkopankkitunnuksensa ja tekstiviestillä saamansa vahvistuskoodin ulkopuoliselle tai on säilyttänyt tunnuksiaan ja puhelintaan, johon tekstiviestivahvistus on lähetetty, niin huolimattomasti, että ulkopuolinen on saanut ne haltuunsa asiakkaan huomaamatta. Näin ollen pankki katsoo, että asiakkaan toiminta on ollut törkeän huolimatonta maksupalvelulaissa tarkoitetulla tavalla ja asiakas vastaa itse menetetyistä varoista.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot
- Kuvakaappaus pankin asiakkaalle 17.2.2025 klo 17.23 lähettämästä tekstiviestistä
- Tilitapahtumaote
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].
Pankkitunnusehtojen Tunnistaminen [pankin] tunnistusvälineillä -kohdan mukaan
Tunnistusperiaatteemme ovat saatavilla verkkosivuillamme osoitteessa [pankki].fi ja asiakaspalvelupisteillämme.
Tunnistusvälineillämme voit tunnistautua myös kolmannen osapuolen palvelussa siten kuin tunnistuslaissa säädetään.
[…]
Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.
Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]
Asian arviointi
Tapahtumienkulku
Pankki on tapauksessa esittänyt selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jota käyttäen ko. tilisiirrot on tehty. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.
Asiassa saadun selvityksen mukaan rikolliset ovat nyt riidanalaisella tavalla saaneet tietoonsa asiakkaan verkkopankkitunnusten käyttäjätunnuksen, salasanan ja tietyn luvun asiakkaan tunnuslukutaulukosta sekä pankin asiakkaalle 13.2.2025 klo 19.12 lähettämässä tekstiviestissä olleen vahvistuskoodin, joita käyttäen he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olleen pankin mobiilisovelluksen.
Pankkilautakunnassa on käsitelty viime vuosina lukuisia erilaisia verkossa tapahtuneita verkkopankkitunnusten kalastelua ja oikeudetonta käyttöä koskevia tapauksia ja erityisesti myös sellaisia, joissa rikolliset ovat tämän tapauksen tavoin onnistuneet aktivoimaan omalle laitteelleen asiakkaan nimissä olevan pankin mobiilisovelluksen. Tyypillisesti näissä tapauksissa uhri on päätynyt esimerkiksi hakukoneen taikka rikollisten uhrille lähettämässä viestissä olleen linkin kautta asioimaan pankin, jonkin viranomaisen tai esimerkiksi kuljetusliikkeen verkkosivuilta näyttäville rikollisten luomille valesivuille, joiden kautta uhrin sivuille esimerkiksi kirjautumistarkoituksessa syöttämät tiedot päätyvät rikollisten tietoon.
Pankkilautakunnan käsittelemässä tapauksessa FINE-71529-W1F8J0 pankin mobiilisovelluksen käyttöönotto edellytti rikollisilta nyt käsiteltävänä olevan tapauksen tavoin asiakkaan pankkitunnustietojen lisäksi pankin tekstiviestitse asiakkaalle lähettämää aktivointikoodia. Kyseisessä tapauksessa asiakas oli hotelleja verkossa katsoessaan päätynyt rikollisten luomille valesivuille, joilla hän oli käyttänyt verkkopankkitunnuksiaan kirjautumistarkoituksessa. Valesivujen kautta saamillaan tiedoilla rikolliset olivat aktivoineet käyttöönsä pankin mobiilisovelluksen ja sovellusta käyttäen tehneet mm. oikeudettomia tilisiirtoja. Asiassa saadun selvityksen perusteella ja erityisesti pankin lähettämän pankin mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin sisältö huomioiden Pankkilautakunta katsoi asiakkaan syöttäneen pankin tekstiviestitse lähettämän koodin verkkosivuille mahdollisesti lukematta viestin sisältöä tai ainakin sen sisältöä menettelyssään huomioimatta ja asiakkaan menettelyn tämän johdosta osoittaneen maksupalvelulaissa tarkoitettua törkeää huolimattomuutta eikä lautakunta siten suosittanut asiassa hyvitystä.
Nyt käsiteltävänä olevassa tapauksessa asiakas kertoo käyttäneensä ko. päivänä pankkitunnuksiaan ainoastaan kirjautuakseen verkkopankkiin ja tuolloinkin omalla pankin mobiilisovelluksellaan QR-koodia lukien. Asiakkaan mukaan hän ei myöskään käytä verkkopankkitunnuksiaan asioidessaan muilla kuin pankin sivuilla. Asiakkaan mukaan hän ei ole koskaan luovuttanut pankkitunnuksiaan kenellekään ja hän säilyttää niitä lukkojen takana asekaapissa aina, kun hänellä ei ole niille käyttöä. Asiakas myös kiistää vastaanottaneensa pankin mobiilisovelluksen sisältänyttä tekstiviestiä 13.2.2025 klo 19.12 ja asiakas epäilee tapahtuneen olleen seurausta pankin järjestelmän pettämisestä ja pankin törkeästä huolimattomuudesta asiakkaan rahojen turvallisessa säilyttämisessä.
Pankkilautakunta toteaa, ettei sillä ole syytä epäillä pankin asiassa esittämää selvitystä, ja katsoo näin ollen, ettei tapahtunut ole ollut seurausta pankin järjestelmien pettämisestä. Edelleen lautakunta katsoo, ettei sen ole asiassa saadun selvityksen perusteella mahdollista arvioida, ovatko asiassa rikollisille päätyneet ja tapahtuneen pankin mobiilisovelluksen aktivoimisen edellyttämät tiedot voineet päätyä asiakkaalta tekijöille muulla tavoin kuin asiakkaan omin aktiivisin toimin esimerkiksi rikollisten luomilla valesivuilla.
Asiakkaan kiistäessä itse käyttäneensä pankkitunnuksiaan tapahtuma-aikaan tai luovuttaneensa niitä ja puhelintaan jonkun toisen käyttöön Pankkilautakunta katsoo tapahtumien kulun jäävän asiassa esitetyn selvityksen perusteella olennaisilta osin epäselväksi. Pankkilautakunnan ei ole saadun selvityksen perusteella mahdollista luotettavasti arvioida, mitä tapauksessa on todennäköisimmin tapahtunut ja miten oikeudettomien maksutapahtumien toteuttamisen edellyttämät pankkitunnus- ja aktivointikooditiedot ovat voineet päätyä rikollisten tietoon, saati sitä, mikä on asiakkaan mahdollisesti huolimattoman menettelyn myötävaikutus tapahtumien kulkuun.
Lopputulos
Pankkilautakunta katsoo, että tapauksessa esitetyn selvityksen perusteella tapahtumien kulku jää olennaisilta osin epäselväksi eikä lautakunta näin ollen pysty käytettävissään olevin keinoin luotettavasti ratkaisemaan asiakkaan ja pankin välisen vastuunjaon kannalta ratkaisevaa kysymystä siitä, onko asiakkaan pankkitunnusten oikeudeton käyttö johtunut asiakkaan huolimattomuudesta ja onko asiakkaan mahdollinen huolimattomuus törkeää.
Ohjesääntönsä mukaan Pankkilautakunta voi erityisestä syystä päättää, ettei se anna ratkaisusuositusta sen käsiteltäväksi saatetusta asiasta. Keskeisen tapahtumainkulun jäädessä edellä todetuin tavoin epäselväksi Pankkilautakunta päättää, ettei se anna ratkaisusuositusta tässä tapauksessa.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Atrila
Piilo
Punakivi
Tervonen