Haku

FINE-75229-S1S9Y8

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-75229-S1S9Y8 (2026)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 17.03.2026

Miten vastuu asiakkaan ja pankin välillä jakautuu asiakkaan tililtä oikeudettomasta tehdyistä tilisiirroista? Pankkitunnusten oikeudeton käyttö. Maksuvälineen haltijan huolimattomuus. Tapahtumatunniste.

Tapahtumatiedot

Kun asiakkaan tarkoituksena on ollut kirjautua verottajan verkkopalveluun, on hän päätynyt asioimaan rikollisten luomilla valesivuilla.

Pankin lokitietojen mukaan asiakkaan tunnuksia on käytetty neljä kertaa 5.3.2025 klo 17:31-17:35 välisenä aikana. Jokaisesta kirjautumisesta asiakkaalle on rekisteröityyn puhelinnumeroon lähetetty tekstiviestillä vahvistuspyyntö:
"Olet kirjautumassa [pankin] tunnuksilla palveluun. Syötä vahvistuskoodi xxxxxx sille varattuun kenttään. Tapahtumatunniste: XXXX"".

Rikolliset ovat kirjautuneet asiakkaan verkkopankkitunnuksia käyttäen Telian palveluun klo 17:34. Telian sivuilla on asiakkaan liittymään otettu käyttöön eSim-kortti, mitä koskien Telia on lähettänyt asiakkaalle tekstiviestin klo 17:36:
"Hyvä asiakas, liittymäänne tehdään pyytämänne eSIM/SIM-kortin vaihto terveisin Telia."

Asiakkaan verkkopankkiin on kirjauduttu 5.3.2025 klo 17:52:06 verkkopankin käyttäjätunnuksella, henkilökohtaisella salasanalla sekä asiakkaalle rekisteröityyn puhelinnumeroon klo 17:51:29 lähetetyn tekstiviestivahvistuksen vahvistuskoodilla. Vahvistustekstiviestin sisältö:
"Olet kirjautumassa [pankin] tunnuksilla palveluun. Syötä vahvistuskoodi xxxxxx sille varattuun kenttään. Tapahtumatunniste: LX23".

Asiakkaan verkkopankissa on klo 17:53:21 tehty 3.000 euron tilisiirto asiakkaan säästötalletustililtä asiakkaan käyttötilille sekä klo 17:59:41 1.800 euron tilisiirto asiakkaan kortin luottotililtä asiakkaan käyttötilille. Siirrot on vahvistettu pankin asiakkaan puhelinnumeroon lähettämillä vahvistuskoodeilla.

Asiakkaan verkkopankissa on luotu kaksi maksutoimeksiantoa ulkopuolisille Italiaan yhteisarvoltaan 23.632,00 euroa ja kyseiset maksut on vahvistettu verkkopankissa klo 18.01 pankin asiakkaan puhelinnumeroon lähettämässä tekstiviestissä olleella vahvistuskoodilla. Vastaavalla tavalla on vielä klo 18.03 vahvistettu 19.000 euron siirto Italiaan.

Asiakas huomasi seuraavana aamuna 6.3.2025, ettei hänen puhelimensa toiminut ja että hänen tilinsä oli tyhjennetty. Asiakas otti yhteyttä pankkiin, jolloin asiakkaan pankkitunnukset on suljettu ja pankki on tehnyt maksuista palautuspyynnöt 6.3.2025 klo 9:27.

Asiakkaan valitus

Asiakas vaatii, että pankki korvaa 23.512 euron vahingon täysimääräisesti. Asiakas pyytää, että lautakunta arvioi tilanteen kokonaisuutena. Pankki on laiminlyönyt velvollisuutensa asiakkaan suojaamisessa. Asiakkaan toiminta ei ole ollut niin huolimatonta, että vastuu siirtyisi hänelle.

Asiakas yritti kirjautua Omaveroon mobiilivarmenteella, mutta palvelu keskeytyi "häiriöilmoitukseen", ja hän yritti uudelleen kirjautua pankin tunnuksilla ja sai siitä tekstiviestin pankilta: Olet kirjautumassa pankin palveluun ja varmennekoodi. Asiakas kirjoitti vahvistuskoodin sille varattuun kenttään, ja sivu rupesi päivittymään ja saapui uusi vahvistuskoodi. Tätä toistui 4 kertaa kokonaisuudessaan. Hän oletti edelleen kyseessä olevan häiriö, ja lopetti tähän. 10 minuuttia myöhemmin hän kirjautui mobiilivarmenteella uudelleen omaveroon, ja pääsi sivustolle. Hetkeä myöhemmin oli tullut tekstiviesti Telialta: "Hyvä asiakas, liittymäänne tehdään pyytämänne eSIM/SIM-kortin vaihto terveisin Telia.”

Seuraavana aamuna klo 8 aikaan asiakas huomasi, ettei puhelin enää toiminut, ja hänen tilinsä oli tyhjentynyt. Asiakkaan säästötili, käyttötili sekä luottokortti oli nostettu varoiksi ja kaikki yhdessä siirretty kahdelle ulkomaiselle tilille. Asiakas otti noin klo 9 aikaan yhteyttä pankin sulkupalveluun, ja meni Telian liikkeeseen sulkemaan loputkin palvelut ja laatimaan rikosilmoitusta. Pankki ei ole hyvittänyt varoja koska katsoo, että asiakas on antanut rikollisille pankkitunnuksensa.

Pankin valvonta — Asiakas on ollut pankin asiakas yli 30 vuotta, ja hänen varojaan siirrettiin olennaisesti hänen maksukäyttäytymisestään poikkeavalla tavalla ulkomaille ilman estoja. Asiakas ei ole siirtänyt ulkomaille kertaakaan rahaa. Huomattavan suuret maksut olisivat olleet helposti pankin havaittavissa, mutta pankki ei varoittanut eikä estänyt poikkeavia tapahtumia. Asiakas ei ole saanut mitään ilmoitusta siirroista. Pankki on tietoisesti valinnut kevyemmät turvallisuustoimet verrattuna esimerkiksi Ruotsin pankkeihin ja jättänyt parantamatta suojaa, vaikka parempia ratkaisuja on saatavilla. Huijaus on tuttu pankeille ja se noudattaa samoja kaavoja pankin sisällä, ja lisävarmistuksin pankilla olisi ollut mahdollisuus helposti suojata asiakkaitaan. Pankki ottaa tässä tietoisen riskin, kun se on päättänyt olla puuttumatta erittäin yleiseen huijaukseen. Kun pankki ei tarjoa suojaa, vastuuta ei voida siirtää asiakkaalle. Korkeimman oikeuden ratkaisua KKO:1998:15 mukaillen, pankilla on paras mahdollisuus suojautua näiltä huijauksilta, jolloin pankin lojaliteettivelvoite asiakkaitaan kohtaan johtaa siihen, että laiminlyötyään puuttumismahdollisuutensa on pankki osavastuussa huijauksen onnistumisessa ja tulisi määrätä maksamaan korvauksia huijatulle asiakkaalleen.

Vahvistusviestit — Kun kirjautuu pankin tunnuksilla muihin palveluihin, esimerkiksi suomi.fi, tekstiviestissä sanotaan vain "olet kirjautumassa pankin tunnuksilla palveluun”. Tämä ei kerro mihin palveluun ollaan menossa, mikä tekee asiakkaalle mahdottomaksi erottaa aito ja valesivusto. Pankilla olisi mahdollisuus tekstiviestitse saapuviin varmenteisiin saada "olet kirjautumassa pankin tunnuksilla palveluun TELIA OY", eikä ympäripyöreätä mikä nyt esiintyy. Tämä olennaisesti vähentäisi toteutuneita huijauksia.

eSIM-aktivointi — On erittäin huolestuttavaa, jos yhdellä tunnistautumisella Telia omasivuilla voi tilata eSIM:n ilman mitään lisäturvatoimia, ja muokata asiakastietoja ilman vahvistuksia, tai edes sallitaan tämä ilman kaksivaiheista tunnistautumista. Miksi ylipäätään prosessi on tehty näinkin helpoksi, että rikolliset pääsevät käyttää sitä hyväkseen. Moni ihminen ei ole edes tietoinen koko e-SIM olemassaolosta. Asiakas ei ollut tietoinen huijaussivustosta eikä myöskään eSIM-viesti ollut ymmärrettävä tai varoittava.

Pankki ei voi siirtää vastuuta asiakkaalle eSIM-kaappauksessa. Jos pankin järjestelmät perustuvat tekstiviestivarmennukseen, pankin tulee huomioida eSIM-kaappauksen riskit ja valvoa niitä tarkemmin. Kyseessä on järjestelmähaavoittuvuus, ei asiakkaan virhe. Kun rikollinen saa tekstiviestit haltuunsa, hän saa täyden pääsyn tileihin ilman, että asiakas voi havaita tai estää tapahtumaa. Pankki on ollut tietoinen SIM-kaappaus- ja huijausriskistä, mutta ei ole reagoinut. Yleiset koulutukset tai verkkopankkiviestit eivät ole riittävä vastatoimi tekniselle järjestelmäriskille eivätkä estä eSIM-kaappauksia.

Pankkiin pääsee kirjautumaan sisään käyttäjätunnus + salasana ja seuraavaksi saapuvasta tekstiviesti varmenteesta. Lisäksi kaikki pankin sisällä suoritettavat tapahtumat varmennetaan tekstiviestillä. Esimerkiksi pankilla B tämä ei olisi ollut mahdollista, vaan vaatisi tunnuslukutaulukon. Jos käytössä olisi tunnuslukutaulukko mikä myös on edelleen käytössä muilla pankeilla, tällöin tapahtuma olisi saatu estettyä, sillä asiakas omaa tuolloin jotain fyysistä. Myös pankin id-sovelluksen pystyy aktivoimaan tekstiviestitse saapuvasta varmenteesta, eikä missään vaiheessa käytetä avainlukulistaa.

Pankin järjestelmä on ollut suojaamaton eikä kykene erottelemaan asiakasta rikollisesta. Tässä tapauksessa asiakas ei ole hyväksynyt maksutapahtumia, eikä ole toiminut törkeän huolimattomasti. Hän on joutunut ammattimaisesti toteutetun huijauksen ja pankin suojauspuutteiden uhriksi. Korkein oikeus (KKO 1998:15) on todennut, että pankin vastuuta korostetaan, jos sillä olisi ollut paremmat mahdollisuudet estää vahinko. Tämä pätee tässä tilanteessa.

Pankki on pitkään siirtänyt ja karsinut konttoriverkostonsa sekä siirtänyt palvelunsa verkkoon, riippumatta mitkä ovat asiakkaan digitaidot. Pankki on kerännyt kustannushyödyn ja täten siirtänyt vastuun digitaalisten palveluiden käyttämisestä asiakkaillensa. Pankki tulisi saattaa vastuuseen, sekä yhteiskunnan vaatia pankeilta enemmän vastuuta sillä tekniset mahdollisuudet ovat saatavilla. Pankin vastuulla on rakentaa turvallinen järjestelmä, ei sälyttää vastuu asiakkaalle, joka toimii normaalilla tavalla ilman teknistä asiantuntemusta.

Pankin vastine

Pankin näkemyksen mukaan vastuu oikeudettomista maksutapahtumista johtuneista tappioista on maksupalvelulain 62 § 2 momentin mukaisesti asiakkaan, sillä tämä on toiminut maksuvälinettä käyttäessään törkeän huolimattomasti.

Pankin kuvaus tapahtumista perustuen järjestelmälokitietoihin

Asiakkaan verkkopankkiin on kirjauduttu 5.3.2025 klo 17:52:06 verkkopankin käyttäjätunnuksella, henkilökohtaisella salasanalla sekä asiakkaalle rekisteröityyn puhelinnumeroon klo 17:51:29 lähetetyn tekstiviestivahvistuksen vahvistuskoodilla.

Asiakkaan verkkopankissa on klo 17:53:21 tehty tilisiirto asiakkaan säästötalletustililtä asiakkaan käyttötilille sekä klo 17:59:41 tilisiirto asiakkaan kortin luottotililtä asiakkaan käyttötilille. Tilisiirron toteuttaminen asiakkaan kortin luottotililtä on vaatinut asiakkaalle rekisteröityyn puhelinnumeroon lähetetyssä tekstiviestissä olleen vahvistuskoodin. Asiakkaalle rekisteröityyn puhelinnumeroon on lähetetty luottotilisiirtoon liittyen kolme erillistä tekstiviestivahvistuspyyntöä:
17:55:36:
"Olet siirtämässä rahaa luottotililtä. Ole hyvä ja syötä vahvistuskoodi A-812799 verkkopankissa sille varattuun kenttään".
17:55:36:
"Olet siirtämässä rahaa luottotililtä. Ole hyvä ja syötä vahvistuskoodi A-605249 verkkopankissa sille varattuun kenttään."
17:59:13:
"Olet siirtämässä rahaa luottotililtä. Ole hyvä ja syötä vahvistuskoodi A-578345 verkkopankissa sille varattuun kenttään."
Verkkopankin luottotilisiirtoon on annettu vahvistuskoodi ja tilisiirto toteutettu klo 17:59:41.

Asiakkaan verkkopankissa on tehty klo 17:54:18 Sepa-maksu 19.000 euroa sekä klo 18:01:25 Sepa-maksu 4.512 euroa. Maksut on vahvistettu asiakkaalle rekisteröityyn puhelinnroon klo 18:01:36 lähetetyn tekstiviestivahvistuspyynnön vahvistuskoodilla. Tekstiviestin sisältö:
"Olet vahvistamassa 2 maksua (Italia, yht. 23 632,00 EUR). Ole hyvä ja syötä vahvistuskoodi A-115153 verkkopankissa sille varattuun kenttään."
Maksut on vahvistettu tekstiviestissä mukana olleella vahvistuskoodilla klo 18:02:17. Asiakkaalle rekisteröityyn puhelinnumeroon lähetetty klo 18:03:20 uusi tekstiviestivahvistuspyyntö. Tekstiviestin sisältö:
"Olet vahvistamassa maksua (Italia, 19 000,00 EUR). Ole hyvä ja syötä vahvistuskoodi A-884041 verkkopankissa sille varattuun kenttään."
Maksu on vahvistettu tekstiviestissä mukana olleella vahvistuskoodilla klo 18:03:43.

Lisäksi lokitietojen mukaan asiakkaan tunnuksia on käytetty neljä kertaa 5.3.2025 klo 17:31-17:35 välisenä aikana. Jokaisesta kirjautumisesta asiakkaalle on rekisteröityyn puhelinnumeroon lähetetty tekstiviestillä vahvistuspyyntö:
"Olet kirjautumassa [pankin] tunnuksilla palveluun. Syötä vahvistuskoodi xxxxxx sille varattuun kenttään. Tapahtumatunniste: XXXX"".
Tekstiviestissä sisältö muuten sama, mutta vahvistuskoodi ja tapahtumatunniste olivat kullekin tekstiviestille yksilölliset.

Tekstiviesteissä oleva tapahtumatunniste yksilöi vastaavan kirjautumissivun antaman kertaluonteisen tunnistetiedon eli vertaamalla vastaanotetun tekstiviestin tunnistamistietoa kirjautumissivun antamaan tunnistetietoon voi tarkistaa, että vahvistuspyyntö liittyy käynnissä olevaan tunnistamistapahtumaan.

Pankin lokitietojen mukaan asiakkaan vahvoilla tunnistetiedoilla (verkkopankin käyttäjätunnus, henkilökohtainen salasana sekä tekstiviestin vahvistuspyynnössä olevalla vahvistuskoodilla on kirjauduttu FTN-tunnistuksella Telian palveluihin klo 17:34:15.

Pankilla ei ole omilla lokeillaan tietoja ko. operaattorin palveluissa tehdyistä mahdollisista toimista. Kyseisiä tietoja tulee pyytää palveluntuottajalta itseltään.

Asiakas ei missään vaiheessa 5.3.2025 tapahtumien aikana tai niiden jälkeen 5.3.2025 ole ottanut yhteyttä pankin asiakaspalveluun tai sulkupalveluun. Asiakas on ottanut yhteyttä pankkiin vasta 6.3.2025, jolloin asiakaspalvelu on sulkenut asiakkaan verkkopankkisopimuksen ja tehnyt maksuista palautuspyynnöt 6.3.2025 klo 9:27. Varoja ei ole saatu takaisin.

Sovellettavat säännökset

Pankki viittaa maksupalvelulain 53 § 1 momenttiin ja 62 § 1 momentin 2 kohtaan sekä pankin verkkopankin ja verkkopankkitunnusten käyttöä sekä tunnistuspalveluita koskevien ehtojen 2. kohtaan, jonka mukaan asiakas ei saa antaa tunnuksiaan tai niiden osaa tunnistuspalvelun ulkopuolisille verkkosivustoille. Ehtojen 2. kohdan mukaan asiakkaan on huolehdittava, että verkkopankin tunnukset tai hänelle lähetetyt varmennuskoodit eivät päädy ulkopuolisen haltuun, ja asiakas vastaa hänelle myönnettyjen tunnusten oikeudettomasta käytöstä, jos tämä on luovuttanut tunnukset niitä oikeudettomasti käyttävälle taholle.

Asiakas vetoaa korkeimman oikeuden ennakkopäätökseen KKO:1998:15, jossa arvioidaan helikopteriyhtiön vastuuta vahingosta, kun yhtiö oli jättänyt vakuutuksen ottamatta helikopterilleen. Tapaus ei sovellu vastuun jakautumisen arviointiin oikeudettomien maksutapahtumien osalta. Käsillä olevaan tilanteeseen soveltuu edellä esitetysti maksupalvelulain säännökset pankin ja asiakkaan välisen vastuun jakautumisesta.

Pankin käsitys tapahtumien kulusta sekä asiakkaan toiminnasta

Pankin omien lokitietojen ja asiakkaalta saatujen tietojen perusteella pankin näkemys on, että asiakas on yrittänyt tunnistautua pankin tunnisteilla Omavero-sivustolle, jota asiakas on etsinyt hakukonetoiminnolla ja josta hän on päätynyt väärennetylle sivustolle. Asiakas on syöttänyt väärennetylle sivustolle verkkopankkisopimuksen käyttäjätunnuksen, henkilökohtaisen salasanan sekä tekstiviestillä tulleen vahvistuskoodin. Asiakas on antanut itse kaikki tarvittavat tiedot ko. sivustolle mukaan lukien tekstiviestillä tulleen vahvistuskoodin. Vahvistuskoodissa on ollut yksilöity tapahtumatunniste, joka näkyy myös ko. palvelun tunnistautumisen yhteydessä. Asiakas on 17:31-17:35 välisenä aikana syöttänyt tunnistetietonsa useaan kertaan ja jokaisella kerralla asiakkaalle on lähetetty asiakkaan puhelinnumeroon vahvistuspyyntö tekstiviestinä.

Jokaisessa tekstiviestissä on ollut oma tapahtumatunnisteensa, joka on yksilöinyt vahvistuksen ko. palvelussa sisäänkirjautumisen yhteydessä näkyvään tunnistetietoon. Vertaamalla vastaanotetun tekstiviestin tunnistamistietoa kirjautumissivun antamaan tunnistetietoon asiakkaan olisi tullut tarkistaa, että vahvistuspyyntö liittyy käynnissä olevaan tunnistamistapahtumaan. Asiakas ei ole toiminut näin, vaan neljästi syöttänyt tekstiviestillä saamansa yksilöllisen koodin tarkastamatta sen oikeellisuutta.

Lokitiedoilta näkyy myös, että asiakkaan verkkopankkitunnisteilla on tehty FTN-tunnistautuminen Telian palveluun klo 17:34. Asiakkaan valesivustolle antamilla tiedoilla ulkopuolinen toimija on tunnistautunut asiakkaan vahvoilla tunnisteilla Telian palveluun. Asiakkaalta saatujen tietojen mukaan Telian sivuilla on asiakkaan liittymään otettu käyttöön eSim-kortti, josta asiakas on antamiensa tietojen mukaan saanut tiedon Telialta klo 17:36. Telialta tullut tieto oli tullut tekstiviestillä, ja tekstiviestin sisältö oli ollut seuraava: "Hyvä asiakas, liittymäänne tehdään pyytämänne eSIM/SIM-kortin vaihto terveisin Telia." Pankin saamien tietojen mukaan asiakas ei tämänkään tiedon saatuaan ole tehnyt mitään toimia tarkistaakseen Telialta viestin syytä tai tarvittavia toimia.

Ulkopuolisen tahon liitettyä omaan laitteeseensa asiakkaan puhelinliittymän liitetyn eSIM-kortin, on ulkopuolinen taho saanut myös pääsyn asiakkaalle lähetettyihin tekstiviesteihin eSIM-kortin käyttöönotosta alkaen klo 17:36 jälkeen.

Asiakkaan huolellisuutta arvioidessaan pankki on huomioinut, että pankin järjestelmän lokitietojen asiakkaalle numeroon on lähetetty yhteensä neljä erillistä tekstiviestivahvistuspyyntöä yksilöllisine vahvistuskoodeineen ja tapahtumatunnisteineen ennen eSIM-kortin käyttöönottoa. Näin ollen tekstiviestit ovat menneet asiakkaan käytössä olleeseen puhelimeen. Myös Telian lähettämä e-Simin käyttöönottoviesti klo 17:36 on mennyt asiakkaan omaan laitteeseen. Asiakkaan ulkopuolisen tahon suorittamat tilisiirrot sekä maksut tileiltä on kuitenkin vahvistettu maksettavaksi vasta klo 18:03, eli asiakkaalla olisi ollut Teliankin viestin saatuaan aikaa 27 minuuttia tarkistaa tilanne ja estää maksujen tekeminen.

Pankin näkemyksen mukaan asiakas on toiminut törkeän huolimattomasti sekä verkkopankkiehtojen kohdan 2. vastaisesti syöttäessään verkkopankin käyttäjätunnuksen ja henkilökohtaisen salasanan yrittäessään kirjautua pankin tunnisteilla hakukonehaulla esille etsittyyn väärennettyyn Omavero-sivustoon.

Pankki kunkin tunnistamistapahtuman yhteydessä järjestelmä antaa tunnistamistapahtumakohtaisen tunnistamistiedon, joka mainitaan myös asiakkaan saamassa vahvistustekstiviestissä. Kyseisen tunnistamistiedon avulla asiakas voi varmistaa, että vahvistuskoodi liittyy nimenomaan asiakkaan käynnissä olevaan tunnistamistapahtumaan. Asiakas on saanut tapahtumien aikana neljä eri kertaa vahvistamisviestin, jossa hän on saanut yksilöllisen tunnistamistiedon, jonka avulla hänen olisi tullut epäillä, että ko. vahvistustekstiviesti ei liity asiakkaan käynnissä olevaan tunnistamistapahtumaan. On asiakkaan törkeää huolimattomuutta, että tämä ei ole lukenut viestien sisältöä riittävän tarkasti eikä huomioinut sitä, että niiden tunnistamistiedot eivät liittyneet Omaveroon tunnistautumiseen.

Asiakas on myös jättänyt huomioitta Telialta tulleen viestin eSIM-käyttöönotosta samaan aikaan, kun asiakas on useita kertoja yrittänyt kirjautua pankkitunnuksillaan 'Omavero'-sivustolle kirjautumisen joka kerta epäonnistuttua. Mikäli asiakas olisi lukenut pankin ja Telian tekstiviestien sisällöt huolellisesti ja ottanut yhteyttä Teliaan tai pankin asiakaspalveluun tai sulkupalveluun, olisi epäilyttävä toiminta selvinnyt ja verkkopankki olisi ehditty lukita ja maksujen tekeminen estää. Asiakas on ryhtynyt toimiin asian tarkistamiseksi vasta seuraavana päivänä. Huomioitavaa on myös, että asiakkaan oikeudettomat maksut on vahvistettu verkkopankissa vasta klo 18.03 eli asiakkaalla olisi ollut 27 minuuttia aikaa tarkistaa ja toimia sekä estää maksujen toteuttaminen ja verkkopankin oikeudeton käyttö varoitusviestin saamisen jälkeen. Asiakas oli ryhtynyt toimiin tarkistaakseen tilanteen vasta seuraavana päivänä.

Pankki ei voi vaikuttaa operaattoreiden lähettämiin viesteihin tai operaattoreiden toimintaan. Pankeilla ei ole mitään mahdollisuutta saada tietoa siitä, mitä teleoperaattoreiden palvelussa voi tehdä tai siitä, käyttääkö asiakas eSIM-korttia tai siitä, että asiakkaan SIM-kortti on vaihdettu eSIM-korttiin taikka myöskään siitä, käyttääkö joku muu asiakkaan eSIM-korttia tai tavallista SIM-korttia. Pankki ei vastaa teleoperaattoritoimijoiden palveluista tai niiden valvonnasta eikä pankki ole vastuussa teleoperaattorin palveluista tai niihin liittyvistä prosesseista.

Pankilla ei myöskään ole velvollisuutta lähettää erillistä ilmoitusta asiakkaan tekemistä ulkomaanmaksuista. Pankin velvollisuudet täyttyvät lähettämällä maksujen vahvistamiseen tarvittavat vahvistuspyyntöviestit. Pankin maksujen monitorointi on sääntelyn mukainen. Maksujen monitoroinnilla ei ole vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta. Pankit kehittävät jatkuvasti palveluitaan ja niiden turvallisuutta. Joissain maissa ollaan tässä kehityksessä edellä ja maakohtaisessa sääntelyssäkin voi olla eroa. Palveluiden turvallinen käyttö edellyttää myös asiakkailta sopimusehtojen ja ohjeiden noudattamista.

Pankin näkemyksen mukaan asiakas ei ole noudattanut maksupalvelulain 53 § 1 momentin mukaista velvollisuuttaan toimia huolellisesti ja varovaisesti, vaan on jättänyt huomioimatta tekstiviestien sisällön, jossa kukin tunnistamistapahtuma on selkeästi tapahtumatunnisteella yhdistetty varsinaiseen palvelun tunnistamistapahtumaan. Mikäli asiakas olisi huomioinut pankin tekstiviestien sisällön ja jättänyt syöttämättä vahvistuskoodit, ei asiakkaan verkkopankkitunnuksilla olisi pystytty kirjautumaan Telian palveluun ja ottamaan käyttöön eSim-korttia eikä myöhemmin kirjautumaan verkkopankkiin ja tekemään siellä tilisiirtoja sekä maksuja ulkopuoliselle taholle.

Asiakkaalla olisi myös Telian varoitustekstiviestin vastaanottamisen jälkeen ollut riittävästi aikaa reagoida ja ottaa yhteyttä Teliaan tai pankin asiakaspalveluun tai sulkupalveluun, jolloin maksujen toteuttaminen olisi ehditty estää ja verkkopankki sulkea. Näin ollen pankki katsoo asiakkaan toimineen asiassa törkeän huolimattomasti ja siten mahdollistaneen oikeudettomien maksujen suorittamisen hänen tililtään.

Sekä pankki, poliisi ja muut viranomaiset sekä muut rahoitustoimijat ja eri mediat ovat toistuvasti nostaneet esiin varoitukset väärennetyille sivuille päätymisen riskeistä hakukonetta käytettäessä sekä tarpeesta lukea pankin lähettämien tekstiviestisisältö tarkasti ennen vahvistusten rekisteröimistä.

Pankki on järjestänyt asiakkailleen myös informaatiotilaisuuksia sekä webinaareina että lähikoulutuksina toimipisteissään v. 2022-2024 aikana. Asiakkaalle on lähetetty kutsu tällaiseen tilaisuuteen 3 kertaa, viimeksi elokuussa 2024. Kutsuteksteissä on nostettu esiin suositus tutustua turvalliseen palveluiden käyttöön verkossa ja tarjottu asiakkaille mahdollisuutta henkilökohtaiseen opastukseen toimipisteellä.

Pankki on myös vuoden 2024 ja 2025 aikana julkaissut säännöllisesti kuukausittain ennen asiakkaan reklamoimia tapahtumia julkaissut asiakkaan verkkopankissa verkkopankin etusivulla turvalliseen asiointiin liittyvän tiedotusviestin, jossa asiakasta on kehotettu tutustumaan turvalliseen asiointiin eri kanavissa, ja josta asiakas on päässyt suoraan tutustumaan pankin kotisivuilla ylläpidettyyn turvallisen asioinnin ohjeistukseen. Vinkit turvalliseen asiointiin -tiedote on viimeksi ennen reklamoitua tapahtumaketjua julkaistu asiakkaan verkkopankin etusivulla 2.2.2025.

Pankin asiakkailla on mahdollisuus tunnistautua pankin tunnistussovelluksella. Niille asiakkaille, jotka eivät halua tai voi ottaa sitä palvelua käyttöön, pankki tarjoaa vaihtoehtoisen tekstiviestitunnistautumisen, joka on PSD2 sääntelyn mukainen ja perustuu asiakkaan salasanaan sekä hänelle lähetettyyn kertatunnukseen.

Kirjautuminen verkkopankkiin ei mahdollista maksujen vahvistamista ilman erillistä tunnistustapahtumaa maksujen yhteydessä. Mikäli asiakas vahvistaa maksut kertatunnuksilla, niitä koskevissa viesteissä lukee selkeästi, mihin niitä voi käyttää.

Pankin näkemyksen mukaan asiakas on itse omalla törkeän huolimattomalla toiminnallaan mahdollistanut ulkopuolisen verkkorikollisen pääsyn hänen verkkopankkipalveluihinsa ja puhelinliittymäänsä ja siten mahdollistaneen asiakkaan tililtä tehdyt oikeudettomat maksut. Pankki kiistää kokonaisuudessaan asiakkaan vahingonkorvausvaatimuksen määrän ja perusteen.  

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu mm. seuraavat asiakirjat:
- Kuvakaappauksia asiakkaan pankilta vastanottamista tekstiviesteistä
- Kuvakaappauksia asiakkaan Telialta vastanottamista tekstiviesteistä

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, onko asiakkaan pankkitunnusten oikeudeton käyttö johtunut siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on ollut.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 38 §:n 1 momentin mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Maksupalvelulain 62 §:n mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin verkkopankkia ja verkkopankkitunnusten käyttöä sekä tunnistuspalvelua koskevien yleisten ehtojen (pankkitunnusehdot) Tunnusten käyttäminen ja säilyttäminen -kohdan mukaan
Pankki antaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu palvelussa edellytetyllä tavalla. Tunnusten käyttäminen vastaa asiakkaan tunnistamista henkilöllisyyden osoittavasta asiakirjasta. Asiakas voi tunnistautua Verkkopankissa myös muun Luottamusverkostoon kuuluvan toimijan kuin pankin antamalla varmenteella tai tunnisteella, jos pankki on hyväksynyt tällaisen varmenteen tai tunnisteen käytön.
Verkkopankkiin liitetään asiakkaan pankissa oleva tili tai tilejä, elleivät asiakas ja pankki ole toisin sopineet. Sopimuksen tekohetken jälkeen Verkkopankkiin voi liittää tai siitä voidaan poistaa tilejä tai muuttaa liitettyjen tilien ominaisuuksia tai palveluja.
Tunnusten käyttäminen pankin Verkkopankissa tai muussa pankin tarjoamassa palvelussa siinä edellytetyllä tavalla vastaa asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit sitovat palvelussa tunnistettua asiakasta sen jälkeen, kun ne on lähetty pankille palvelussa edellytetyllä tavalla.
Tunnukset tai niiden osa voidaan lähettää postitse asiakkaan pankille ilmoittamaan tai Väestörekisterikeskukselta saatuun asiakkaan osoitteeseen, tekstiviestillä asiakkaan pankille ilmoittamaan matkapuhelinnumeroon tai sähköpostiviestinä asiakkaan sähkö-postiosoitteeseen, elleivät pankki tai pankkia edustava muu palveluntarjoaja ja asiakas nimenomaisesti toisin sovi. Asiakkaan on ilmoitettava pankille asiakkaan osoite, matkapuhelinnumero ja sähköpostiosoite sekä ilmoitettava välittömästi pankille, mikäli näissä tiedoissa tapahtuu muutos.
Asiakas ei saa luovuttaa tunnuksiaan osaksikaan toiselle henkilölle, ei edes samaan perheeseen kuuluvalle henkilölle. Asiakas ei myöskään saa antaa tunnuksiaan tai niiden osaa Verkkopankin tai Tunnistuspalvelun ulkopuolisille sovelluksille, verkkosivustoille tai muille palveluille.
[…]
Asiakas sitoutuu säilyttämään Verkkopankkitunnuksiin kuuluvat yksittäiset tunnisteet erillään toisistaan ja huolehtimaan siitä, että ne eivät joudu sivullisen haltuun tai tietoon. Sama velvoite koskee myös niitä pankin tarjoamia sovelluksia tai varmenteita, jotka liittyvät pankin tarjoamaan tietoturvalliseen tekniseen menetelmään, jolla voidaan käyttää Verkkopankkia ja muita pankin tarjoamia palveluja. Asiakkaan on käyttäessään tunnuksia päätelaitteessaan suojattava näyttö ja näppäimistö siten, ettei sivullisen ole mahdollista nähdä ja saada tietoonsa tunnuksia tai niiden osia. Pankilla on oikeus antaa tarkempia ohjeita tunnusten säilyttämisestä muuta teknistä menetelmää koskevissa sopimusehdoissa.
Asiakas ei saa ilmaista tunnuksia tai niiden osaa puhelimessa suullisesti niitä kysyvälle eikä antaa tai lähettää niitä tekstiviestillä, sähköpostilla tai muulla viestivälineellä saapuneen pyynnön perusteella. Ainoastaan puhelinyhteydellä pankin asiakaspalveluun (p. xxx xxx xxx) asiakas voi tunnistautua annettujen ohjeiden mukaan käyttämällä tunnuksia päätelaitteessaan.
Verkkopankkitunnuksiin kuuluvia yksittäisiä tunnisteita ei saa kirjoittaa tai tallettaa muistiin helposti tunnistettavassa muodossa. Tunnusten osia ei saa säilyttää yhdessä, kuten samassa säilytyspaikassa kotona, tai esimerkiksi lompakossa tai käsilaukussa. Asiakkaan on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että tunnukset ovat tallessa. Jos tunnukset ovat kadonneet tai ne ovat joutuneet tai ovat saattaneet joutua sivullisen haltuun tai tietoon, asiakas on velvollinen ilmoittamaan tästä välittömästi pankille. Muun kuin pankin myöntämän varmenteen tai tunnisteen katoamisilmoitus on tehtävä varmennetta tai tunnistetta koskevien käyttöehtojen mukaisesti.
[…]
Asiakkaan on tehtävä katoamisilmoitus henkilökohtaisesti tai puhelimitse pankin konttoriin tai pankin ilmoittamaan asiakaspalveluun näiden aukioloaikoina taikka pankin sulkupalveluun (puhelinnumero xxx xxx tai ulkomailta +358 xx xxx).
Asiakas on kuitenkin aina vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Asiakkaan vastuu muun kuin pankin myöntämän varmenteen tai tunnisteen oikeudettomasta käytöstä ja ilmoitusvelvollisuudesta määräytyy varmenteen tai tunnisteen käyttöehtojen mukaisesti.
Pankki voi turvallisuussyistä pyytää lisävahvistuksen asiakkaalta tämän Verkkopankin tai pankin tarjoaman muun sähköisen palvelun kautta antamalle toimeksiannolle. Toimeksianto toteutetaan vasta lisävahvistuksen jälkeen.
Jos muun kuin pankin myöntämän varmenteen tai tunnisteen käyttöehdot ovat ristiriidassa näiden ehtojen kanssa, sovelletaan ensisijaisesti näitä ehtoja.

Pankkitunnusehtojen Tunnistuspalvelun käyttäminen -kohdan mukaan
Jos pankin ja asiakkaan välillä on sovittu Tunnistuspalvelun käytöstä, asiakas voi tunnistautua pankin tarjoamilla tunnuksilla Ulkopuolisen palveluntarjoajan tai Luottamusverkostoon kuuluvan toimijan sähköisissä palveluissa. Asiakkaan tunnukset toimivat tällöin tunnistusvälineenä, ja tunnuksiin sovelletaan tämä sopimuksen mukaisia määräyksiä. Tunnistuspalvelusta sopiessaan pankki noudattaa sen kulloinkin voimassa olevia tunnistusperiaatteita, jotka ovat saatavilla pankin kotisivuilta www.[pankki].fi
[…]

Asian arviointi

Tapahtumienkulku

Pankkilautakunta katsoo asiassa selvitetyksi, että kun asiakkaan tarkoituksena 5.3.2025 on ollut mennä tietokoneellaan verottajan sivuille, on hän asiaa huomaamatta päätynyt verottajan verkkosivuilta näyttävälle valesivustolle, jolla hän on käyttänyt verkkopankkitunnuksiaan kirjautuakseen verottajan verkkopalveluun. Lautakunta katsoo todennäköiseksi, että asiakas on päätynyt valesivuille hakukoneen käyttämisen seurauksena.

Tavanomaiseen viranomaisen palveluun kirjautumisen tapaan asiakas on käyttänyt verkkosivuilla pankkitunnuksiaan ja pankki on lähettänyt asiakkaalle klo 17:31 palveluun kirjautumista koskevan tekstiviestin:
"Olet kirjautumassa [pankin] tunnuksilla palveluun. Syötä vahvistuskoodi xxxxxx sille varattuun kenttään. Tapahtumatunniste: xxxx"
Asiakas on syöttänyt viestissä olleen koodin sivuille, mutta kirjautuminen ei ole onnistunut, ja asiakas on yrittänyt kirjautumista uudestaan syöttäen sivuille yhteensä neljä pankin klo 17:31-17:35 välisenä aikana lähettämissä samanlaisissa tekstiviesteissä ollutta vahvistuskoodia.

Rikolliset ovat asiakkaalta valesivujen kautta saamillaan tiedoilla tunnistautuneet Telian palveluun ja hakeneet asiakkaan nimissä operaattorilta eSIM-kortin, mitä koskien Telia on lähettänyt asiaa koskevan tekstiviestin klo 17:36:
"Hyvä asiakas, liittymäänne tehdään pyytämänne eSIM/SIM-kortin vaihto terveisin Telia."

eSIM-kortin aktivoimisen seurauksena pankin asiakkaan numeroon lähettämät tekstiviestit ovat menneet rikollisten laitteelle ja rikolliset ovat näin ollen asiakkaalta valesivujen kautta saamiaan käyttäjätunnusta ja salasanaa sekä pankin asiakkaan numeroon lähettämiä tekstiviestejä hyödyntäen voineet kirjautua asiakkaan verkkopankkiin, luoda siellä ko. riidanalaiset maksutoimeksiannot ja vahvistaa ne ilman, että tämä olisi edellyttänyt rikollisten saavan asiakkaalta vielä jotain tietoja tai että asiakkaalle olisi mennyt näistä toimista tietoa.

Asiakkaan menettelyn arviointi

Pankkilautakunta katsoo, että asiakas on hakukoneen käyttämisen seurauksena ja huomaamattaan päätynyt rikollisten luomille verottajan verkkosivuilta näyttäville valesivuille.

Pankkitunnusehtojen mukaan asiakas voi tunnistautua pankin tarjoamilla tunnuksilla ulkopuolisen palveluntarjoajan sähköisissä palveluissa. Ehtojen mukaan asiakas sitoutuu huolehtimaan siitä, että tunnukset eivät joudu sivullisen haltuun tai tietoon, mutta ehdoissa ei kuitenkaan tarkemmin määritellä, kuinka asiakkaan olisi toimittava ulkopuolisen palveluntarjoajan sähköisiin palveluihin hakeututuessaan taikka niille tunnistautuessaan. Pankkilautakunta katsoo tämän lisäksi, ettei erilaisten verkkohuijausten yleistymisestä ja eri tahojen lisääntyneestä huijauksia koskevasta tiedottamisesta huolimatta yleiseen tietämykseen tapahtuma-aikana voida katsoa kuuluneen tietoa siitä, että pankkien verkkopalveluihin taikka viranomaisten tunnistautumista edellyttäviin palveluihin hakeutuminen hakukoneita käyttäen sisältäisi erityisiä turvallisuusriskejä tai ylipäänsä siitä, että rikolliset voivat saada rikollisiin tarkoituksiin luotuja verkkosivujaan hakukoneiden hakutuloksiin.

Pankkilautakunta katsoo, ettei asiakkaan voida asiassa saadun selvityksen perusteella katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan viranomaisen verkkopalveluun ja käyttäessään siellä pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa ja niitä koskevien ehtojen mukaisessa käyttötarkoituksessa tunnistautuakseen viranomaisen palveluun.

Pankki on lähettänyt asiakkaalle kirjautumista koskevan ja vahvistuskoodin sisältäneen tekstiviestin, joka on sisällöltään vastannut viestiä, jonka asiakas olisi saanut, mikäli hän olisi ollut aidoilla verottajan sivuilla tunnistautumassa palveluun. Näin ollen Pankkilautakunta katsoo, ettei asiakkaan voida katsoa huolimattomuudestaan laiminlyöneen velvollisuuksiaan myöskään siinä vaiheessa, kun hän on syöttänyt viestissä olleen koodin valesivuille.

Asiakkaan kertoman mukaan kirjautuminen on keskeytynyt häiriöilmoitukseen ja hän yritti kirjautua palveluun uudestaan saaden pankilta uuden kirjautumista koskevan tekstiviestin. Tämä on toistunut ja asiakas on syöttänyt sivuille yhteensä neljä pankin klo 17:31-17:35 tekstiviestitse lähettämää koodia, ja koska hän ei ole päässyt palveluun, on hän lopettanut yrittämästä ja onnistunut hieman myöhemmin kirjautumaan palveluun mobiilivarmennetta käyttäen.

Pankkilautakunta katsoo olevan tavanomaista, että verkkoyhteyksissä ja erilaisten verkkopalvelujen toiminnassa esiintyy häiriöitä. Tämän vuoksi lautakunta katsoo myös, ettei yksinomaan se, että asiakas ei ole useamman kirjautumisyrityksen epäonnistumisen johdosta ymmärtänyt epäillä asiointinsa asianmukaisuutta osoita, että hän olisi menetellyt huolimattomasti pankkitunnuksiaan käyttäessään.

Pankki on tapauksessa vedonnut siihen, että pankin lähettämät neljä tekstiviestiä ovat eronneet toisistaan yksilöllisiltä tapahtumatunnisteiltaan, joiden avulla asiakas voi varmistaa, että vahvistuskoodi liittyy nimenomaan asiakkaan käynnissä olevaan tunnistamistapahtumaan, ja pankin näkemyksen mukaan tässä tapauksessa on asiakkaan törkeää huolimattomuutta, että tämä ei ole lukenut viestien sisältöä riittävän tarkasti eikä huomioinut sitä, että niiden tunnistamistiedot eivät liittyneet Omaveroon tunnistautumiseen.

Pankkilautakunta toteaa, että pankkien vahvistustekstiviesteissä tai tunnistussovellusten vahvistuspyynnöissä olevat tapahtumatunnisteet ovat osa pankkitunnusten käyttämiseen liittyvää turvallisuutta ja myös yksi monesta seikasta, joka on huomioitava arvioitaessa pankkitunnusten haltijan menettelyn mahdollista huolimattomuutta.

Edelleen lautakunta toteaa, että tilanteessa jossa tunnustenhaltija joutuu yrittämään kirjautumista toistamiseen, on selvää, että pankin lähettämä uusi tekstiviesti eroaa aiemmasta sekä tapahtumatunnisteen että viestissä olevan koodin suhteen. Lautakunta katsoo tässä tapauksessa jääneen lisäksi epäselväksi, mitä rikolliset ovat valesivuilla asiakkaalle näyttäneet, ja siten mahdolliseksi, että rikolliset ovat näyttäneet valesivuilla asiakkaalle saman tapahtumatunnisteen, jonka ovat itse nähneet ollessaan kirjautumassa asiakkaan nimissä ja omalla laitteellaan operaattorin palveluun. Joka tapauksessa tilanteessa, jossa asiakkaalla ei voida katsoa olevan syytä epäillä asiointinsa asianmukaisuutta, lautakunta katsoo, ettei pankin lähettämissä viesteissä olleiden tapahtumatunnisteiden vertaamatta jättäminen kirjautumissivuilla näkyviin tapahtumatunnisteiseen voisi yksinään katsoa osoittavan asiakkaan törkeää huolimattomuutta. Asiakas ei ole tässä tapauksessa kommentoinut pankin esiin nostamaa huomiota viestien tapahtumatunnisteista. Muun selvityksen puuttuessa lautakunta katsoo asiakkaan jättäneen pankin viesteissä olleet tapahtumatunnisteet huomioimatta ja hänen menettelynsä tämän johdosta osoittavan hänen lievää huolimattomuuttaan pankkitunnustenhaltijana.

Selvyyden vuoksi ja turvallisuusnäkökulmasta Pankkilautakunta vielä toteaa, että pankin tekstiviestien yksilöllisiä tapahtumatunnisteita olennaisemmaksi asiakkaan menettelyn kannalta lautakunta arvioisi sen, mikäli pankki tekstiviesteissään asiakkaalleen kertoisi, minkä palveluntarjoajan palveluun asiakas on tunnistautumassa, ja asiakas jättäisi tämän tiedon huomioimatta pankkitunnuksiaan käyttäessään.

Edelleen selvyyden vuoksi ja turvallisuusnäkökulmasta Pankkilautakunta toteaa asiakkaan olevan osin oikeassa viitatessaan fyysisen tunnuslukutaulukon käyttöön vahvassa sähköisessä tunnistamisessa. Mikäli pankin verkkopankkitunnukset koostuisivat käyttäjätunnuksesta, salasanasta ja tunnuslukutaulukosta, ja pankki tunnistus-/vahvistustilanteissa lähettäisi asiakkaalleen vahvistuskoodin sisältävän tekstiviestin sijaan tekstiviestin, jossa kertoisi mitä tiettyä tunnuslukua tunnuslukulistastaan asiakkaan tulisi käyttää, ei tämän tapauksen kaltainen verkkourkinta onnistuisi, sillä rikollisilla ei olisi käytössään asiakkaan hallussa olevaa tunnuslukulistaa. Tällä seikalla ei kuitenkaan ole välitöntä vaikutusta arvioitaessa asiakkaan menettelyä tässä tapauksessa.

Tapauksessa pankki on edellä todetun lisäksi vedonnut siihen, että asiakas on jättänyt huomiotta Telialta tulleen SIM-kortin vaihtoa koskevan tekstiviestin pian sen jälkeen, kun asiakas on useita kertoja yrittänyt kirjautua pankkitunnuksillaan Omavero-sivustolle.

Pankkilautakunta katsoo operaattorin tekstiviestin olleen informaatioarvoltaan heikko ja että etenkin sellainen viestin vastaanottaja, joka ei edes tiedä, mikä eSIM on, voi hyvin jättää viestin huomiotta virheellisenä tai operaattorin asiakaskunnalleen lähettämänä yleisluontoisena palveluja koskevana tiedotteena, joka ei häntä koske. Edelleen lautakunta katsoo, ettei pankkitunnustenhaltijan voi lähtökohtaisesti ja ilman erityistä perustetta edellyttää operaattorin tällaisen varoituksia sisältämättömän viestin perusteella epäilevän, että hänen pankkitunnustietonsa voisivat olla jollain tavalla vaarantuneet. Näin mitä ilmeisimmin asiakaskaan ei tässä tapauksessa ole ymmärtänyt tekstiviestin tarkoitusta tai sen koskeneen hänen liittymänsä toimintaa, saati mieltänyt viestin perusteella hänen tietojensa ylipäänsä olevan jollain tavalla vaarassa taikka pankkitunnustietojensa vaarantuneen. Yhdistettynä asiakkaan juuri tapahtuneisiin tunnistautumisyrityksiin pankkitunnuksilla, Pankkilautakunta kuitenkin katsoo asiakkaan menettelyn osoittaneen lievää huolimattomuutta pankkitunnustensa käyttämisen suhteen, kun hän ei ole käsittänyt operaattorin viestin voineen liittyä hänen verkkoasiointiinsa ja tunnustensa käyttöön, ja on tämän johdosta jättänyt reagoimatta viestiin.

Edelleen ja selvyyden vuoksi Pankkilautakunta toteaa katsovansa, ettei tässä tapauksessa voi pitää ilmeisenä, että asiakas olisi reagoimalla em. operaattorin viestiin voinut estää asiassa aiheutunutta vahinkoa. Asiakas ei olisi voinut ainakaan omalla puhelimellaan soittaa operaattorilleen hänen puhelimessaan olleen SIM-kortin lakattua toimimasta eikä muutoinkaan ole selvää, milloin hän olisi voinut saada asiakaspalvelun kiinni. Epäselvää myös on, olisiko operaattorin asiakaspalvelukaan ymmärtänyt, mistä asiassa oli kyse ja että asiakkaan pankkitunnukset voisivat olla sillä tavoin vaarantunut, että hänen olisi suljettava tunnuksensa ottamalla yhteyttä pankkiin/sulkupalveluun, ja tämä kaikki olisi myös ehditty tehdä ennen kuin kaikki ko. maksut asiakkaan tileiltä oli tehty alle puolessa tunnissa asiakkaan verottajan sivuilta näyttävillä sivuilla tekemien kirjautumisyritysten jälkeen.

Yhteenvetona Pankkilautakunta katsoo asiakkaan lievästä huolimattomuudestaan laiminlyöneen maksupalvelulain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan hänen jätettyään huomioitta pankin kirjautumista koskevissa tekstiviesteissä olleet tapahtumatunnisteet ja reagoimatta operaattorinsa lähettämään tekstiviestiin. Lautakunta katsoo edellä esitetyin perustein, ettei asiakkaan menettelyn kokonaisuutena voida katsoa osoittavan hänen vakavaa varomattomuuttaan pankkitunnusten haltijana saati selvää piittaamattomuutta pankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin. Näin ollen lautakunta katsoo, ettei asiakkaan menettely myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että hänen vastuunsa tapahtuneesta pankkitunnusten oikeudettomasta käytöstä rajoittuu 50 euroon.

Lopputulos

Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                    
Sihteeri Hidén

Jäsenet

Atrila
Piilo
Tervonen
Punakivi

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä