Haku

FINE-75768-D8K9V0

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-75768-D8K9V0 (2026)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 17.03.2026

Miten vastuu asiakkaan ja pankin välillä jakautuu asiakkaan tililtä oikeudettomasti tehdyistä tilisiirroista? Verkkopankkitunnusten oikeudeton käyttö. Pankkitunnusten haltijan huolimattomuus.

Tapahtumatiedot

Kun asiakkaan tarkoituksena 18.9.2024 on ollut hakeutua hakukoneen kautta OmaKanta-palveluun, on hän päätynyt rikollisten luomille valesivuille ja käyttänyt siellä pankkitunnuksiaan kirjautumistarkoituksessa.

Rikolliset ovat asiakkaalta valesivujen kautta saamillaan tiedoilla aktivoineet 18.9.2024 klo 17.38 käyttöönsä omalle Samsung-laitteelleen pankin tunnistussovelluksen. Sovelluksen käyttöönotto on edellyttänyt asiakkaan verkkopankkitunnusten käyttäjätunnuksen ja henkilökohtaisen salasanan sekä pankin asiakkaalle klo 17.37.58 lähettämässä tekstiviestissä olleen aktivointikoodin. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"För att ta i bruk [pankki] ID-applikationen, använd engångskoden 521570. Koden är i kraft 3 minuter."

Pankki on lähettänyt asiakkaalle sovelluksen käyttöönoton jälkeen klo 17.38.50 toisen tekstiviestin:
"[Pankki] ID identifieringsappen har aktiverats på enheten Samsung. Ifall du inte aktiverade den själv, kontakta omedelbart Spärrtjänst på +358 xx xxx."

Asiakkaan pankkitunnuksia ja em. sovellusta käyttäen rikolliset ovat kirjautuneet operaattorien palveluihin useaan otteeseen 18.9.2024 klo 17.45-18.12 välisenä aikana ja hakeneet asiakkaan nimissä e-SIM-kortin.

Asiakkaan pankkitunnuksia ja em. sovellusta käyttäen rikolliset ovat kirjautuneet asiakkaan verkkopankkiin 18.9.2024 klo 18.06 ja luoneet siellä 17 eri maksutoimeksiantoa ulkomaille sekä tehneet klo 18.25 asiakkaan säästötalletustililtä 147.2000 euron siirron asiakkaan käyttötilille. Em. 17 yhteismäärältään 170.570,00 euron tilisiirtoa on vahvistettu klo 18.30 pankin asiakkaan numeroon klo 18.29 lähettämässä tekstiviestissä olleella koodilla:
"Du håller på och bekräftar 17 betalningar (tot. 170 570,00 EUR). Vänligen mata in bekräftelsekoden A¬921311 i rätt fält i nätbanken."

Pankki on havainnut poikkeukselliset tapahtumat ja turvatoimenpiteenä lukinnut asiakkaan tunnukset 18.9.2024 klo 20.59. Em. maksuista palautuksina on saatu takaisin 17.800 euroa ja oikeudettomista maksutapahtumista aiheutunut lopullinen vahinko on siten 152.770 euroa.

Asiakkaan valitus

Asiakkaan käsityksen mukaan pankin tulee maksupalvelulain 63 §:n perusteella maksaa asiakkaalle 152 770 euroa 50 euroa ylittävin osin korkolain 4 §:n 1 momentin mukaisine viivästyskorkoineen 20.9.2024 lukien. Toissijaisesti suosituksen sisällön pitäisi olla se, että pankin tulee maksupalvelulain 62 §:n 3 momentin 4 kohdan ja 63 §:n perusteella maksaa asiakkaalle 146.563,39 euroa viivästyskorkoineen 20.9.2024 lukien. Toissijainen vaatimus perustuu rikollisten asiakkaan omien pankkitilien välillä tekemiin tilisiirtoihin, joihin ei ole edellytetty vahvaa tunnistusta.

Tapahtumainkulku

Asiakkaan käsityksen mukaan osapuolet ovat yhtä mieltä siitä, missä ajassa verkkopankkihuijauksen tapahtumat ovat edenneet ja erimielisyys asiassa koskee sitä, onko asiakas menetellyt asiassa törkeän huolimattomasti.

Asiakas yritti 18.9.2024 kirjautua OmaKanta-palveluun kannettavalla tietokoneellaan. Hän kirjoitti Bing-hakukoneeseen "omakanta" ja klikkasi hakutuloksista osoitetta https://omaknta.com luullen sen olevan virallinen OmaKanta-palvelun kotisivu ja huomaamatta, että osoitteesta puuttui yksi a-kirjain. Hän avasi valesivustolta alasivun nimeltä "Valitse tunnistustapa: [pankki] — tunnistautuminen" ja syötti pankkitunnuksensa valesivustolle kirjautuakseen OmaKanta-palveluun. Ilmeisesti asiakas syötti myös pankilta tekstiviestillä klo 17.37 saamansa koodin käsittäen sen kuuluvan siihen prosessiin, jolla pankin asiakkaat tunnistautuvat OmaKanta-palveluun. Asiakas ei kuitenkaan muista saaneensa pankin selvityksen mukaista toista viestiä, vaan kyseinen viesti on oletettavasti mennyt verkkorikolliselle. Asiakkaan puhelin on kuitenkin Samsung-merkkinen, eli mikäli viesti olisi tullut hänelle, se olisi ollut looginen jatkumo edelliselle viestille.

Pankin ID-sovellusta käytettiin samana päivänä Elisan ja Telian palveluihin kirjautumiseen ja näissä palveluissa on mahdollista tilata elektroninen SIM-kortti. Rikollinen on tätä kautta päässyt käsiinsä asiakkaalle myöhemmin lähetettyihin tekstiviesteihin eli myös viestiin, jossa olevan koodin avulla verkkorikollinen klo 18.29 teki 17 tilisiirtoa. Oikeudettomat tilisiirrot on pankin lokitietojen mukaan tehty Telian ja Elisan kirjautumisten jälkeen.

Tietämättä siitä, mitä oli klo 18.29 verkkopankissa tapahtunut, asiakas yritti soittaa tyttärelleen noin klo 18.50 samana iltana. Puhelin ei toiminut ja hän pystyi puhelimellaan soittamaan vain hätäpuheluita. Asiakas huolestui ja meni Telian liikkeeseen. Oletuksena on, että rikollinen oli ottanut asiakkaan puhelimen haltuunsa elektronisen SIM-kortin avulla eikä asiakas ole tästä syystä pystynyt käyttämään puhelintaan normaaliin tapaan. Liikkeessä asiakkaan puhelin saatiin uudelleen toimimaan.

Pankista soitettiin asiakkaalle seuraavana päivänä 19.9.2024 ja kerrottiin verkkorikollisen tekemistä tilisiirroista. Asiakas sopi tapaamiseen pankkiin, teki tutkintapyynnön poliisille ja teetti myös omalla kustannuksellaan teknisen tutkimuksen kannettavasta tietokoneestaan, jossa selvisi, millä sivustoilla hän on vieraillut 18.9.2024. Tekninen tutkinta paljasti, että rikos oli tapahtunut hänen yrittäessään kirjautua OmaKanta-palveluun.

Asiaa koskeva lainsäädäntö ja oikeusohjeet

Asiakas viittaa maksupalvelulain 62 §:n 2 momenttiin ja 63 §:än sekä lain esitöihin sekä korkeimman oikeuden ennakkopäätökseen KKO:2018:71 ja siihen, miten KKO on arvioinut maksuvälineen haltijan huolimattomuutta. Korkein oikeus on ratkaisullaan vahvistanut lainsäätäjän tahdon siitä, että maksuvälineen käyttäjä vastaa väärinkäytöksistä vain hyvin poikkeuksellisissa tilanteissa.

Pankkilautakunta on myös antanut useita ratkaisuja, joissa henkilö on syöttänyt valesivustolle pankkitunnuksensa, ja tätä kautta rikolliset ovat saaneet aktivoitua henkilölle pankin mobiilisovelluksen. Ratkaisuissa FINE-049807 (30.11.2022), FINE-068227 (23.4.2024) ja FINE-065902 (12.3.2024) ei törkeän huolimattomuuden kynnys ylittynyt vastaavan kaltaisissa tapauksissa. Ratkaisussa FINE-068227 lautakunta arvioi vastaavanlaista tapausta yksi tapahtuma kerrallaan. FINEn mukaan pankkitunnusten syöttäminen valesivustolle ei täyttänyt edes ns. normaalin huolimattomuuden rajaa. Aktivointikoodin syöttäminen ja reagoimattomuus pankin ilmoitukseen aktivoinnista taas osoittivat huolimattomuutta, mutta eivät törkeää huolimattomuutta.

Asiakas ei ole toiminut törkeän huolimattomasti

Asiakkaan toiminta voidaan jakaa kolmeen tapahtumaan: 1) pankkitunnusten syöttäminen valesivustolle, 2) tekstiviestillä saadun aktivointikoodin syöttäminen valesivustolle ja 3) reagoimattomuus pankin lähettämään vahvistusviestiin.

1) Pankkitunnusten syöttäminen valesivustolle

Asiakas on päätynyt hakukoneen kautta valesivustolle ja syöttänyt pankkitunnuksensa valesivustolle. Tällainen verkkourkinnan kohteeksi joutuminen ei FINE:n ratkaisukäytännön mukaan täytä edes tavallisen huolimattomuuden rajaa. Lautakunnan linjaus on kuitenkin pysynyt johdonmukaisena huijausten tunnettuuden merkityksen osalta. Tuoreessa ratkaisussa FINE-73775-K9H2Y9 (28.05.2025) jossa tapahtuma-aika on ollut 24.12.2024, eli asiakkaan tapausta myöhemmin, lautakunta viittaa aikaisempaan käytäntöönsä eikä ole muuttanut linjaustaan. Pankin tiedotteiden osalta puolestaan todettakoon, ettei lautakunta ole 12.3.2024 antamissa ratkaisuissaan FINE-065902, FINE-059980 ja FINE-068552 katsonut asiakkaan toimineen huolimattomasti, vaikka pankki on mm. tiedotteillaan pyrkinyt ohjeistamaan asiakkaitaan turvalliseen verkkopalveluiden käyttöön.

Pankkilautakunnan johdonmukainen linjaus on perusteltu. Muussa tapauksessa pankki voisi aina vedota kyberrikollisuuden yleiseen tunnettuuteen, mikä vesittäisi asiakkaan suojan ja olisi vastoin maksupalvelulain tarkoitusta, jonka mukaan lähtökohtaisesti vastuu on pankilla.

Edellä esitetyn perusteella on selvää, ettei verkkopankin käyttäjätunnuksen ja salasanan syöttäminen väärennetylle verkkosivustolle ole törkeää huolimattomuutta.

2) Tekstiviestillä saadun aktivointikoodin syöttäminen valesivustolle

Pankkitunnusten syöttämisen lisäksi asiakas on ilmeisesti syöttänyt tekstiviestillä saamansa aktivointikoodin valesivustolle. Tällainen toiminta ei FINEn yllä mainituissa ratkaisuissa ole osoittanut törkeää huolimattomuutta. Yhteistä tapauksille, joissa törkeä huolimattomuus on todettu, on se, että pankin asiakkaalle ennen aktivointia lähettämä tekstiviesti on ollut informatiivinen ja sisältänyt varoituksen. Tapauksissa, joissa pankin tekstiviestien informaatiosisältö on vastannut pankin lähettämää viestiä, törkeää huolimattomuutta ei ole todettu.

Pankin esiin nostaman Vaasan hovioikeuden 19.9.2024 tuomion yksityiskohdat eivät vastaa käsillä olevaa tapausta koskien olosuhteita ja pankin asiakkaan numeroon ennen aktivointia lähettämä viestiä. Pankin viesti eroaa informaatiosisällöltään merkittävästi hovioikeuden tuomiossa käsitellystä viestistä. Viesti on sävyltään ja informaatiosisällöltään ainoastaan neutraali aktivointikehote, joka olisi looginen jatkumo kirjautumiselle Omakanta-palveluun. Tekstiviesti ei sisältänyt myöskään mitään varoituksia kalastelusta. Lisäksi on huomioitava, että tekstiviestin mukaan aktivointikoodi on ollut voimassa vain 3 minuuttia. Aikaraja on lisännyt asiakkaan kiireen tuntua ja mahdollisuuksia havaita, että tekstiviestissä mainittiin ID-sovelluksen aktivointi. Aktivoinnin jälkeen pankki lähetti asiakkaan numeroon toisen viestin. Tämäkään viesti ei sisältänyt mitään varoitusta tietojenkalastelusta. Samsung-laitteen maininta ei olisi ollut varoitusmerkki asiakkaalle, jolla itsellään oli käytössään Samsung-merkkinen puhelin. Asiakkaan toimintaa ei pankin viestien sisällöstä johtuen voida pitää törkeän huolimattomana etenkään, kun hänelle ei ensimmäisen aktivointia edeltävän viestin yhteydessä ole edes annettu riittäviä tietoja tilanteen arvioimiseksi.

Asiakas kummeksuu pankin pyrkimystä rinnastaa käsillä oleva tapaus valikoituihin FINEn ratkaisuihin. Pankin vetoamat ratkaisut eivät tue pankin kantaa, vaan päinvastoin kumoavat sen. Jotta asiakas olisi välttänyt kalastelun, hänen olisi pitänyt havaita varsin neutraalisävyisestä ja asiallisesta pankin tekstiviestistä, että tekstiviestissä annettiin vahvistuskoodi pankin ID-sovelluksen aktivointiin eikä OmaKantaan kirjautumista varten. Tällainen inhimillinen erehdys ei voi täyttää törkeän huolimattomuuden rajaa, joka edellyttää ilmeistä piittaamattomuutta ohjeista ja riskeistä.

3) Reagoimattomuus pankin lähettämään vahvistusviestiin

Pankin selvityksen mukaan pankki on lähettänyt asiakkaan numeroon tekstiviestillä vahvistuksen siitä, että ID-sovellus on asennettu Samsungin laitteelle. Asiakas ei muista nähneensä tällaista tekstiviestiä, vaan viesti on todennäköisesti mennyt suoraan verkkorikolliselle. Vaikka asiakas olisikin itse vastaanottanut kyseisen viestin, asiakkaalla ei viestin perusteella olisi ollut aihetta epäillä väärinkäytöstä tai ryhtyä sen johdosta toimenpiteisiin. Ottaen huomioon, että asiakas oli juuri tehnyt kyseisen toimenpiteen luullen sen olevan osa OmaKanta-palveluun tunnistautumista, tällainen vahvistusviesti olisi ollut asiakkaan näkökulmasta luonnollinen osa tunnistautumisprosessia.  Viesti on ollut informaatioarvoltaan suppea ja vastaa viestien sisältöä niissä FINE:n ratkaisuissa, joissa törkeää huolimattomuutta ei ole todettu. Viesti ei sisältänyt mitään konkreettista varoitusta tietojenkalastelusta tai kiireellisestä uhasta. Samsung-laitteen maininta ei voinut toimia varoitusmerkkinä asiakkaalle, jolla itsellään oli Samsung-puhelin käytössään.

Päinvastoin, asiakas luuli olevansa kirjautumassa viralliseen julkiseen palveluun, jossa pankkitunnusten käyttö on normaalia ja odotettavaa. Tässä tilanteessa pankkisovelluksen aktivointi olisi hänen näkökulmastaan looginen osa kirjautumisprosessia, eikä asiakkaan voida kohtuudella olettaa muistavan ulkoa, mitä tietoja kukin palveluntarjoaja edellyttää kirjautumiseen. Asiakkaalta ei myöskään voida kohtuudella edellyttää epäilyksen heräämistä neutraalin vahvistusviestiin eikä viestiin reagoimattomuus näin ollen täytä törkeän huolimattomuuden kynnystä, varsinkaan kun viesti sopi siihen palvelukontekstiin, jossa asiakas uskoi toimivansa.

Asiakas on joutunut taitavasti toteutetun verkkorikoksen kohteeksi. On selvää, ettei mikään yllä kuvatuista kolmesta tapahtumasta täytä törkeän huolimattomuuden rajaa. Myöskään kokonaisuutena asiakkaan toiminta ei arvioiden osoita törkeää huolimattomuutta.

Omien tilien välisten siirtojen vaikutus asiaan

Mikäli Pankkilautakunta edellä esitetystä huolimatta katsoisi asiakkaan menetelleen törkeän huolimattomasti, tulisi suositus toissijaisesti antaa alla esitetyn mukaisena.

FINE on ratkaisussaan FINE-65029-Q5Q1V (25.4.2025) vahvistanut pankin vastuun tilanteessa, jossa asiakkaan omien tilien välillä on ennen oikeudettomia maksuja tehty tilisiirtoja ilman vahvaa tunnistautumista. Vuoden 2025 aikana Pankkilautakunta on antanut useita ratkaisusuosituksia, joissa se on johdonmukaisesti linjannut näin. Tapausten perusteella tilanteessa, jossa verkkopankin sisällä tehty tilisiirto on rikollisten oikeudettomasti tekemä ja koska pankki on sallinut tilisiirron tekemisen ilman maksajan vahvaa tunnistamista, vastaa pankki tästä tilisiirroista. Asiakkaan tapaus vastaa omien tilisiirtojen osalta tapausta FINE-65029-Q5Q1V, jossa oikeudettomat omien tilien väliset siirrot mahdollistivat suuremmat korttimaksut kuin mitä tilin alkuperäinen saldo olisi sallinut.

Asiakkaan tapauksessa ilman omien tilien välistä oikeudetonta siirtoa rikollisten tileille tehtyjen siirtojen määrä olisi voinut olla enintään käyttötilin saldon mukainen 24.006,61 euroa, eli vahingon lisäys omien tilien välisen siirron perusteella on ollut 146.563,39 euroa.

Mikäli FINE vastoin odotusta katsoisi asiakkaan menetelleen törkeän huolimattomasti, on pankki kuitenkin maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan velvollinen korvaamaan asiakkaalle 146.563,39 euroa, eli vahingon lisäyksen, joka on aiheutunut siitä, ettei pankki ole vaatinut vahvaa tunnistusta omien tilisiirtojen välillä.

Em. säännös on sanamuodoltaan selvä ja yksiselitteinen: jos pankki ei vaadi vahvaa tunnistamista, asiakas vapautuu vastuusta. Laki ei aseta mitään lisäehtoja asiakkaan vastuuvapaudelle — se ei edellytä, että vahingon pitäisi syntyä välittömästi siinä maksutapahtumassa, jossa vahvaa tunnistamista ei vaadittu, eikä se muutenkaan rajaa vastuuvapautta koskemaan vain tiettyä maksutapahtumaa tai tilanteita.

Pankin vastine

Pankin näkemyksen mukaan vastuu oikeudettomista maksutapahtumista on maksupalvelulain 62 § 2 momentin mukaisesti asiakkaan, sillä tämä on toiminut maksuvälinettä käyttäessään törkeän huolimattomasti.

1. Pankin kuvaus tapahtumista perustuen järjestelmälokitietoihin

Asiakkaalle on 18.9.2024 klo 17:38 vahvoilla tunnistetiedoilla aktivoitu käyttöön pankin ID-sovellus uudelle laitteelle, mikä on vaatinut asiakkaan verkkopankkisopimuksen käyttäjätunnuksen, henkilökohtaisen salasanan sekä asiakkaalle rekisteröityyn puhelinnumeroon klo 17:37:58 lähetetyssä vahvistustekstiviestissä olleen aktivointikoodin, jonka Asiakas on syöttänyt järjestelmään. Viestin sisältö: "För att ta i bruk [pankki] ID-applikationen, använd engångskoden 521570. Koden är i kraft 3 minuter."

Asiakkaalle rekisteröityyn puhelinnumeroon on välittömästi käyttöönoton jälkeen klo 17:38:50 lähetetty pankin ID-sovelluksen käyttöönotosta vahvistus- ja varoitustekstiviesti: "[Pankki] ID identifieringsappen har aktiverats på enheten Samsung. Ifall du inte aktiverade den själv, kontakta omedelbart Spärrtjänst på +358 xx xxx." Asiakas ei ole ollut yhteydessä pankin asiakaspalveluun tai sulkupalveluun tekstiviestin vastaanottamisen jälkeen.

Koska lokitietojen perusteella Telian ja Elisan palveluihin on kirjauduttu aikaisintaan klo 17.45, on em. tekstiviestit lähetetty asiakkaan omaan puhelimeen. Lisäksi asiakkaan tunnuksia on useaan kertaan käytetty 18.9.2024 klo 17:43, 17:46 ja 17:52. Jokaisesta kirjautumisesta on lähetetty asiakkaan numeroon tekstiviestillä vahvistuspyyntö: "Du loggar in med [pankin] koder. Mata in bekräftelsekoden xxxxxx i det reserverade fältet. Händelse-ID: xxxx". Tekstiviesteissä sisältö on muuten sama, mutta vahvistuskoodi ja tapahtuma-ID olivat kullekin tekstiviestille yksilölliset.

Lokitietojen mukaan asiakkaan vahvoilla FTN-tunnistetiedoilla on samana päivänä 18.9.2024 tunnistauduttu Telian palveluihin klo 17:45, 17:51, 18:09, 18:11 ja 18:12 sekä Elisan palveluihin klo 18:05. FTN-tunnistetietoina on käytetty joko verkkopankin yhdistelmää käyttäjätunnus + Asiakkaan henkilökohtainen salasana ja asiakkaan puhelinnroon lähetetty vahvistuskoodi tai yhdistelmää verkkopankin käyttäjätunnus ja pankin ID-tunnistus. Pankilla ei ole omilla lokeillaan tietoja ko. operaattoreiden palveluissa tehdyistä mahdollisista toimista. Kyseisiä tietoja tulee pyytää kultakin palveluntuottajalta itseltään.

Verkkopankkiin on kirjauduttu vahvoilla tunnisteilla (verkkopankin käyttäjätunnus ja käyttöönotettu ID-sovellus) 18.9.2024 klo 18:06. Verkkopankissa on tehty klo 18:14-18:24 17 eri maksutoimeksiantoa yhteensä 170.570,00 euroa sekä klo 18:25 oma tilisiirto 147.200 euroa asiakkaan säästötalletustililtä asiakkaan käyttötilille. Maksutoimeksiannot on vahvistettu asiakkaalle rekisteröityyn puhelinnumeroon klo 18:29 lähetetyn tekstiviestin vahvistuskoodilla klo 18:30:08.

Asiakas ei missään vaiheessa 18.9.2024 tapahtumien aikana tai niiden jälkeen ole ottanut yhteyttä pankin asiakaspalveluun tai sulkupalveluun.

Asiakkaan verkkopankin poikkeuksellinen käyttö havaittiin pankissa 18.9.2024 illalla ja havainnon seurauksena verkkopankkisopimus turvatoimena lukittiin klo 20:59. Samalla tehtiin kaikista 17 maksusta palautuspyynnöt, joiden perusteella onnistuttiin palauttamaan kaksi maksua määrältään yhteensä 17.800 euroa. Muihin palautuspyyntöihin vastaanottajapankeilta tuli kielteiset vastaukset.

2. Sovellettavat säännökset

Pankki viittaa maksupalvelulain 53 § 1 momenttiin ja 62 §:än sekä pankin verkkopankin ja verkkopankkitunnusten käyttöä sekä tunnistuspalveluita koskevien ehtoihin.

Korkein oikeus ei ole antanut ennakkotapauksia liittyen internetissä tapahtuvasta pankkitunnusten kalastelusta. Asiakas vetoaa tapaukseen KKO 2018:71, jossa kuitenkin käsiteltiin asiakkaan toimia fyysisten tunnusten säilytyksessä. Pankki nostaa esiin Vaasan hovioikeuden 19.9.2024 antaman päätöksen S 23/870, jossa asiakkaan tiedot on kalasteltu Omakantaa esittävältä huijaussivustolta, johon asiakas on päätynyt hakukoneen kautta, ja kalastelluilla tiedoilla ulkopuoliset olivat avanneet uuden mobiilisovelluksen. Hovioikeus katsoi, että asiakkaan menettelyä oli pidettävä kokonaisuutena arvostellen törkeän huolimattomana ja asiakas oli vastuussa vahingosta täysimääräisesti.

3. Pankin käsitys tapahtumien kulusta sekä asiakkaan toiminnasta, jonka seurauksena asiakkaan tililtä on tehty oikeudettomia maksuja

Asiakas on yrittänyt tunnistautua pankin tunnisteilla Omakanta-sivustolle, jota asiakas on etsinyt hakukonetoiminnolla ja josta hän on päätynyt väärennetylle sivustolle. Asiakkaan sivuilla antamilla tiedoilla ulkopuolinen toimija on ottanut käyttöön ID-sovelluksen, jonka avulla ulkopuolinen on myöhemmin kirjautunut sekä teleoperaattorin palveluihin että asiakkaan verkkopankkiin. Pankin käsitys on, että ulkopuolinen toimija on teleoperaattoripalvelussa ottanut käyttöön asiakkaan puhelinliittymään eSim-kortin, jolloin on saanut myös pääsyn asiakkaalle lähetettyihin tekstiviesteihin eSim-kortin käyttöönotosta alkaen.

Pankin näkemyksen mukaan asiakas on toiminut törkeän huolimattomasti sekä verkkopankkiehtojen vastaisesti syöttäessään verkkopankin käyttäjätunnuksen ja henkilökohtaisen salasanan yrittäessään kirjautua pankin tunnisteilla hakukonehaulla esille etsittyyn väärennettyyn omaknta.com-sivustoon. Asiakas on lisäksi toiminut törkeän huolimattomasti syöttäessään samalle sivustolle tekstiviestillä saamansa pankin ID-aktivointikoodin, vaikka tekstiviestissä on nimenomaan kerrottu sen liittyvän ID-sovelluksen aktivointiin. Asiakas on myös jättänyt huomioitta ID-sovelluksen aktivoinnin jälkeen saamansa vahvistus- ja varoitusviestin, jossa asiakasta on kehotettu välittömästi toimimaan, mikäli ei itse ole aktivoinut ID-sovellusta. Tekstiviesteissä oli selkokielisesti mainittu, että kyseessä on ollut pankin ID-sovelluksen käyttöönotto Samsung-laitteeseen, eikä se ole liittynyt ulkoisen palvelun kertatunnistautumiseen.

Pankin näkemyksen mukaan asiakas ei ole noudattanut verkkopankkiehtojen sekä maksupalvelulain 53 § 1 momentin mukaista velvollisuuttaan toimia huolellisesti ja varovaisesti, vaan on jättänyt huomioimatta tekstiviestien sisällön. Mikäli asiakas olisi huomioinut ensimmäisen tekstiviestin sisällön ja jättänyt syöttämättä vahvistuskoodin, ei ID:n käyttöönotto ulkopuolisen toimesta olisi onnistunut. Asiakkaalla olisi myös toisen varoitustekstiviestin vastaanottamisen jälkeen ollut riittävästi aikaa reagoida ja soittaa sulkupalveluun tai pankin asiakaspalveluun. Näin ollen pankki katsoo asiakkaan toimineen asiassa törkeän huolimattomasti ja siten mahdollistaneen oikeudettomien maksujen suorittamisen hänen tililtään. Alla erikseen perustelut pankin näkemyksistä asiakkaan esittämän tapahtumaketjun kolmen tapahtuman osalta.

3.1. Huomioitavaa asiakkaan toiminnan arviointiin liittyen pankkitunnusten syöttämiseen valesivustolle

Asiakas on hakenut Omakanta-palvelun sivustoa hakukoneella ja klikannut siellä hakutulos-linkkiä, joka on vienyt väärennetylle sivustolle. Huomionarvoista on, että ko. sivuston osoitenimessä https://omaknta.com on sekä virheellinen sivustonimi että osoite päättyi .com-päätteeseen, jota ei ole käytössä Omakanta -sivustolla. Asiakas ei ole tarkastanut, onko hän päätynyt oikealle sivustolle. Sivusto olisi ollut helposti havaittavissa väärennetyksi jo sivuston verkko-osoitteen perusteella.

Asiakas vetoaa ratkaisusuositukseen FINE-068227, jossa todetaan, että hakukoneen kautta löytyneet valesivustot eivät olleet yleisessä tiedossa tapahtuma-aikana, eikä tapauksessa ollut pankki ollut varoittanut asiakkaitaan mahdollisista huijauksista. Käsillä olevassa tapauksessa asiakasta on pankin sekä viranomaisten toimesta viestitty mahdollisten huijaussivustojen riskeistä.

Sekä pankki, poliisi ja muut viranomaiset sekä muut rahoitustoimijat ja eri mediat ovat toistuvasti nostaneet esiin varoitukset väärennetyille sivuille päätymisen riskeistä hakukonetta käytettäessä sekä tarpeesta lukea pankin lähettämien tekstiviestisisältö tarkasti ennen vahvistusten rekisteröimistä. Pankki on järjestänyt asiakkailleen myös informaatiotilaisuuksia sekä webinaareina että lähikoulutuksina toimipisteissään v. 2022-2024 aikana. Asiakkaalle on lähetetty kutsu tällaiseen tilaisuuteen neljä kertaa, viimeksi elokuussa 2024. Kutsuteksteissä on nostettu esiin suositus tutustua turvalliseen palveluiden käyttöön verkossa ja tarjottu asiakkaille mahdollisuutta henkilökohtaiseen opastukseen toimipisteellä. Pankki on myös vuoden 2024 aikana julkaissut kuukausittain ennen asiakkaan reklamoimia tapahtumia yhteensä yhdeksän kertaa asiakkaan verkkopankissa etusivulla turvalliseen asiointiin liittyvän tiedotusviestin, jossa asiakasta on kehotettu tutustumaan turvalliseen asiointiin eri kanavissa ja josta asiakas on päässyt suoraan tutustumaan sivuilla ylläpidettyyn turvallisen asioinnin ohjeistukseen. Ohjeistuksessa on kerrottu mm. huijaussivustoista sekä hakukoneisiin liittyvistä riskeistä. Vinkit turvalliseen asiointiin -tiedote on viimeksi ennen reklamoitua tapahtumaketjua julkaistu asiakkaan verkkopankin etusivulla 9.9.2024.

3.2. Huomioitavaa asiakkaan toiminnan arviointiin liittyen tekstiviestillä saadun aktivointikoodin syöttämiseen valesivustolle

Pankin asiakkaalle 18.9.2024 klo 17:37:58 lähettämä tekstiviestin sisältö on selkeä ja nimenomaisesti kertoo, että asiakas on ottamassa käyttöön pankin ID-sovelluksen, ei tekemässä yksittäistä tunnistamistapahtumaa ulkopuoliseen palveluun. Tekstiviestin sisältö on asiallinen ja täsmällinen ja nimenomaan kertoo, mihin tarkoitukseen viestillä tullutta vahvistuskoodia käytetään. Viestissä annettu aktivointikoodin määräaika on riittävä, jotta asiakas ehtii lukea ja arvioida tekstiviestin sisällön ennen aktivointikoodin syöttämistä. Vaikka asiakkaalle lähetetyssä viestissä ei ole nimenomaista varoitusta mahdollisesta huijauksesta, olisi asiakkaan tullut ymmärtää riskin mahdollisuus asioidessaan pankkitunnuksilla ja jättää syöttämättä koodi, jonka tarkoitusperästä hän ei voinut olla varma.

Lokitietojen mukaan sovellus on aktivoitu käyttöön välittömästi, eli asiakas on syöttänyt aktivointikoodin alle minuutin sisällä tekstiviestin saapumisesta. Asiakkaalla olisi ollut riittävästi aikaa harkita tekstiviestin sisältöä ja sen merkitystä ennen koodin syöttämistä valesivustolle, eikä viestissä asetettu aikaraja ole heikentänyt asiakkaan mahdollisuuksia ymmärtää, että sovelluksen aktivoimiseen liittyvä viesti ei liity Omakantaan kirjautumiseen. Asiakkaan olisi tullut kiinnittää asialliseen pankin lähettämään viestiin tarpeeksi huomiota, jotta tämä olisi voinut tunnistaa aktivointikoodin tosiasiallisen tarkoituksen. Nykypäivänä kalasteluviestit sisältävät usein sujuvaa kieltä, joten pelkkä asiallinen ulkomuoto ei riitä petoksen tunnistamiseen. Viestin sisältö olisi tullut lukea huolella. Viesti oli lähtöisin pankilta, ja jos sen sisältö olisi luettu, ei ulkopuolinen taho olisi voinut siirtää varoja pois asiakkaan tililtä.

Asiakkaan vetoamat ratkaisusuositukset eivät vastaa käsillä olevaa tilannetta, sillä asiakas ei ole yrittänyt kirjautua verkkopankkiin, vaan Omakantaan. On asiakkaan törkeää huolimattomuutta, että hän ei ole lukenut viestejä eikä huomioinut sitä, että ne eivät liity Omakantaan tunnistautumiseen. FINE on vahvistanut pankin näkemyksen törkeästä huolimattomuudesta ratkaisusuosituksessa FINE-043423, joka tapahtumakuvaukseltaan vastaa käsillä olevaa tapausta. FINE on tapauksessa todennut, että asiakas on toiminut törkeän huolimattomasti, kun hän ei ollut lukenut informatiivista, mobiilisovelluksen aktivointikoodia sisältänyttä tekstiviestiä, kun tämä oli yrittänyt kirjautua Omakannan sivuille. Pankki viittaa myös suositukseen FINE-067799.

FINE arvioi huolimattomuuden astetta oppaassaan Huijausten selvittämisestä ja ratkaisukäytännöstä FINE:ssä. Oppaan mukaan lautakunta on katsonut, että jos asiakas saa tekstiviestin, joka poikkeaa siitä toimesta, mitä asiakas kuvittelee olevansa tekemässä, tulisi asiakkaan ymmärtää kyseenalaistaa verkkoasiointinsa asianmukaisuus. FINE nostaa esimerkiksi juuri tilanteen, jossa asiakas yrittää tunnistautua verkossa, mutta saakin pankiltaan mobiilisovelluksen käyttöönottoa koskevan viestin aktivointikoodeineen, asiakkaan tulisi jättää saamansa mobiilisovelluksen aktivointiin tarkoitettu koodi laittamatta huijaussivustolle. FINE korostaa oppaassaan, että jos informatiivisessa tekstiviestissä kerrotaan asianmukaisesti, mihin koodia tullaan käyttämään, ja jos asiakasta varoitetaan tekstiviestissä huijauksesta, tulisi huolelliseen asiakkaan keskeyttää asiointi.

3.3. Huomioitavaa asiakkaan toiminnan arviointiin pankin lähettämään vahvistus- ja varoitusviestiin reagoinnin osalta

Pankki on 18.9.2024 klo 17:38:50 lähettänyt asiakkaalle rekisteröityyn numeroon tekstiviestillä vahvistuksen siitä, että pankin ID-sovellus on asennettu Samsungin laitteeseen. Tekstiviesti on pitänyt sisällään huomautuksen siitä, että jos käyttäjä ei ole itse aktivoinut sovellusta, tulee käyttäjän välittömästi soittaa pankin sulkupalveluun. Lokitietojen mukaan ensimmäinen tunnistus operaattorin palveluun on tehty vasta 17:45 eli eSim-korttia ei ole voitu ottaa käyttöön ennen tämän tekstiviestin saapumista asiakkaan puhelimeen.

Pankin lähettämä tekstiviestin sisältö ei mitenkään viittaa yksittäiseen tunnistamistapahtumaan vaan siinä nimenomaan vahvistetaan, että Samsung-yksikköön on aktivoitu pankin ID-sovellus. Lisäksi huomioitavaa on, että asiakas on ollut tekemässä tunnistamistapahtumaa kannettavalla tietokoneella, ei Samsung-laitteella, joten tämän olisi pitänyt olla pankin näkemyksen mukaan asiakkaalle varoitus siitä, että lähetetty varoitusviesti ei liittynyt tietokoneella yritettyyn vahvaan tunnistautumiseen. Tekstiviestin sisältö ei siltäkään osin ole looginen jatkumo tapahtumaketjussa ja asiakkaan olisi tullut ymmärtää, että ko. viesti ei koskenut Omakanta-palveluun tunnistautumista. Viimeistään tässä vaiheessa asiakkaan olisi tullut lukea saapunut viesti, ja ymmärtää, että Omakanta-palveluun kirjautuminen ei ole millään tavalla liitännäinen uuden pankkisovelluksen aktivoimiseen, ja ottaa yhteyttä pankin asiakaspalveluun. Asiakas olisi voinut välttää tappion syntymisen toimimalla viestin ohjeiden mukaan. Usean pankin ID-palvelun aktivoinnista kertovan viestin tulkitsemisen Omakanta-kirjautumisen normaaliksi osaksi osoittaa asiakkaan jättäneen viestien sisällön huomiotta osoittaen törkeän huolimatonta käytöstä pankkitunnuksi.

Kun lisäksi huomioidaan, että tekstiviestissä on ollut kehotus välittömästi ottaa yhteyttä sulkupalveluun, mikäli asiakas ei itse ole aktivoinut sovellusta, olisi asiakkaan tullut ymmärtää, että ko. toimi on voinut sisältää riskin asiakkaan palveluille ja näin ollen viestin saatuaan vähintään harkita tarvetta soittaa kehotuksen mukaisesti sulkupalveluun tai pankin asiakaspalveluun asian tarkistamiseksi.

Lisäksi lokitietojen mukaan asiakkaalle rekisteröityyn puhelinnumeroon on myös klo 17:43, 17:46 ja 17:52 lähetetty kolme tekstiviestivahvistuspyyntöä pankin tunnuksilla tehtävästä kirjautumisesta: "Du loggar in med [pankin] koder. Mata in bekräftelsekoden xxxxxx i det reserverade fältet. Händelse-ID: xxxx ". Pankin tiedossa ei ole milloin asiakkaan puhelinliittymään on liitetty eSim-kortti, joten pankki ei voi sanoa, onko asiakas saanut kaikki kolme tekstiviestiä omaan puhelimeensa. Koska ensimmäinen kirjautuminen teleoperaattorin palveluun tehtiin klo 17:45, on joka tapauksessa ainakin ensimmäinen tekstiviesti tullut asiakkaan omaan puhelimeen. Viestin tekstisisältö on ollut myös edellisestä tekstiviestistä poikkeava, mikä ei myöskään asiakkaan väitteen mukaisesti olisi tukenut loogista jatkumoa tekstiviestien sisällön osalta.

Huomioitavaa on myös, että asiakkaan oikeudettomat maksut on vahvistettu verkkopankissa vasta klo 18.30, eli asiakkaalla olisi ollut 45 minuuttia aikaa tarkistaa ja toimia sekä estää maksujen toteuttaminen ja verkkopankin oikeudeton käyttö varoitusviestin saamisen jälkeen.

4. Pankin vastaus liittyen asiakkaan korvausvaateeseen

Edellä esitettyihin perusteisiin viitaten pankki katsoo asiakkaan toimineen maksupalvelulain 62 § 2 momentin mukaisesti törkeän huolimattomasti ja verkkopankkisopimusehtojen vastaisesti syöttäessään pankkitunnuksensa hakukoneen kautta esiin haetulle valesivustolle ja sen jälkeen, jättäessään huomioimatta pankin lähettämien tekstiviestien sisällöt, syöttänyt aktivointikoodin väärennetylle sivustolle. Asiakas ei myöskään ole huomioinut pankin ID -sovelluksen aktivoinnista tullutta varoitustekstiviestiä ja kehotusta välittömästi soittaa sulkupalveluun. Pankin näkemyksen mukaan asiakas on itse omalla törkeän huolimattomalla toiminnallaan mahdollistanut ulkopuolisen verkkorikollisen pääsyn verkkopankkipalveluihinsa ja puhelinliittymäänsä ja siten mahdollistaneen oikeudettomat maksut. Pankki kiistää kokonaisuudessaan asiakkaan vahingonkorvausvaatimuksen määrän ja perusteen.

5. Omien tilien välisten siirtojen vaikutus korvausvastuuseen

Pankki katsoo, että maksupalvelulain 62 § 2 momentissa säädetty maksupalvelun käyttäjän vastuu ei siirry laissa säädetyn nojalla palvelutarjoajalle sillä perusteella, että vahvasti tunnistettuja oikeudettomia maksuja on edeltänyt omien tilien välisiä siirtoja. Käsillä olevassa tilanteessa on sovellettu poikkeusta velvoitteesta edellyttää vahvaa tunnistautumista maksutapahtuman yhteydessä. Poikkeusta sovelletaan komission delegoidun asetuksen teknisen sääntelystandardin 2018/389 (RTS) III luvun 15 artiklan mukaan, jossa säädetään, että saman henkilön hallussa olevien saman palveluntarjoajan tilien välisiin siirtoihin voidaan soveltaa poikkeusta vahvan tunnistautumisen käyttämisestä. RTS:n resitaaleissa on avattu periaatteita, joiden perusteella vahvasta tunnistautumisesta voidaan poiketa. Poikkeukset on EU:n tasolla tahdottu mahdollistaa muun muassa riskitason, määrän ja toistuvuuden perusteella. Riskitason on katsottu olevan alhainen saman henkilön omien tilien välillä liikkuvissa tilisiirroissa, sillä omien tilien välisissä siirroissa varat eivät poistu asiakkaan hallinnasta, eikä tappiota näistä maksutapahtumista aiheudu. Maksupalvelulaissa maksutapahtumia arvioidaan 62 § nojalla erillisinä tapahtumina, eikä yhtenä kokonaisuutena.

Pankin näkemyksen mukaan maksupalvelulain 62 § 3 momentin 4 kohdan mukainen vastuunjako kattaa ainoastaan sen maksutapahtuman, jossa poikkeusta on sovellettu. Asiakas ei ole kärsinyt vahinkoa ulkopuolisen tekemissä omien tilien välisessä siirrossa, sillä hänen varansa olivat koko ajan hänen omilla tileillään. Jos ulkopuoliset toimijat olisivat keskeyttäneet toimensa näihin maksutapahtumiin, eivät vahvasti tunnistamattomat tilien väliset siirrot olisi aiheuttaneet mitään vahinkoa. 62 § 3 momentin 4 kohdan mukainen vahinkoedellytys ei ole täyttynyt, ja pankin sekä asiakkaan välisen vastuun arvioinnin ei tulisi muuttua tilisiirtojen perustella. Varallisuusvahinkoa aiheuttaneet siirrot asiakkaan tilien ulkopuolelle on tehty vahvasti tunnistaen, joten pankin ja asiakkaan välistä vastuuta tulee tarkastella maksupalvelulain 62 § 2 momentin mukaisesti, arvioiden sitä, toimiko asiakas törkeän huolimattomasti.

Tätä tulkintaa tukevat myös RTS:ssä listatut perusteet, joilla poikkeusten soveltaminen on mahdollista. Jos poikkeuksen vaikutusalan katsottaisin ylettyvän myös vahvasti tunnistamatonta maksutapahtumaa mahdollisiin varallisuusvahinkoa aiheuttaviin maksutapahtumiin, ei mitään maksutapahtumaa voisi enää pitää matalariskisenä. Poikkeusten soveltaminen perustuu sille, että maksutapahtumia käsitellään yksittäisinä tapahtumina maksupalvelulain mukaisesti.

Asiakkaan viittaaman tapauksen FINE-65029-Q5Q1V mukaan tilien väliset siirrot ennen oikeudettomia maksutapahtumia ovat mahdollistanut suuremmat tappiot kuin mitä alkuperäisen tilin saldo olisi mahdollistanut. Pankin näkemyksen mukaan näin ei kuitenkaan ole, sillä maksupalvelulaissa eikä ratkaisusuosituksen perusteissa esitetä perusteita sille, että palveluntarjoajan laajennettu vastuu ylettyisi myös seuraaviin erillisiin maksutapahtumiin. Vahvasti tunnistamattomien siirtojen jälkeen asiakkaan varallisuudessa ei ollut tapahtunut muutosta, eikä mitään korvattavaa maksupalvelulain 62 § 3 momentin 4 kohdan mukaan ole syntynyt.

Asiakas on ollut vahvasti tunnistautuneena verkkopankki-istunnossa, jossa asiakkaan tilien väliset sisäiset siirrot on tehty. Tilien välisiä siirtoja voidaan verrata teknisiin siirtoihin, jotka eivät itsessään aiheuta vahinkoa asiakkaalle tai pankille. Siirtoja voidaan verrata siihen, että asiakkaan omat rahat siirretään asiakkaan yhdestä lompakosta toiseen lompakkoon. Rahat ovat edelleen täysin asiakkaan hallussa, eikä pankkia siksi pitäisi katsoa korvausvelvolliseksi siirroista, koska asiakkaalle ei tässä vaiheessa ole syntynyt vahinkoa.

Tosiasiallisestikaan käsillä olevassa tapauksessa vahingon määrä ei ole lisääntynyt, koska tilien välisissä siirroissa ei ole vaadittu vahvaa tunnistautumista. Ulkopuolinen on asiakkaan tunnuksilla hyväksynyt vahvasti tunnistautuen yhteensä 17 maksutapahtumaa tälle luovutettujen pankkitunnusten avulla. Vaikka tilien välisiin siirtoihin olisi vaadittu vahvaa tunnistautumista, olisi ulkopuolisella taholla ollut mahdollisuus hyväksyä myös omien tilien välisiä siirtoja käyttäen asiakkaan omia pankkitunnuksia. Vahvan tunnistautumisen puuttumisella ei siis olisi ollut asiakkaan varoja suojaavaa vaikutusta, eikä sen puuttumisesta aiheutunut asiakkaalle lisävahinkoa.

FINE on sekä ennen asiakkaan vetoamaa tapausta FINE-65029-Q5Q1V (25.4.2025) että sen jälkeen antanut ratkaisusuosituksia, joissa tilien väliset siirrot eivät ole vaikuttaneet ratkaisusuositukseen lainkaan. FINEssä on tulkittu maksupalvelulakia pankin näkemyksen mukaisesti aiemmin. Tämä on ollut vakiintunut käytäntö vuosien ajan, joka ilmenee esimerkiksi tapauksessa FINE-052421 (31.1.2023), jossa lautakunta selventää, että huolellisuusarvioon ei vaikuta se, että varat ovat olleet toisella tilillä, sillä saamillaan tiedoilla ulkopuolinen on voinut tehdä tilisiirtoja myös asiakkaan hallitsemien tilien välillä. Vastaava linja on omaksuttu myös muun muassa tapauksissa FINE-057082 (6.6.2024), FINE-060698 (10.10.2023), FINE-051743 (1.9.2023), FINE-053895 (21.3.2023), FINE-046898 (31.8.2022) sekä FINE-045250 (15.6.2022). Myös asiakkaan viittaaman tapauksen jälkeen FINE on jättänyt tilien väliset siirrot huomiotta esimerkiksi tapauksessa FINE-75893-L5T1C0 (19.6.2025). Tapauksessa käyttöoikeudellisten tilien välisille siirroille ennen oikeudettomia maksutapahtumia ei oltu annettu painoarvoa, ja asiakkaan todettiin toimineen törkeän huolimattomasti. Pankin näkökulman mukaan FINEssä kevään 2025 aikana annetut ratkaisusuositukset koskien vahvasti tunnistamattomia tilien välisiä siirtoja eivät ole sääntelyn tarkoituksen mukaisia, eikä niissä esitetä syitä muuttuneelle linjalle tai juridisia syitä laajentaa poikkeussäännöksen alaa tilanteisiin, joissa syy-yhteys aiheutuneeseen vahinkoon puuttuu.

Pankin näkemyksen mukaan lainsäätäjän tarkoituksena ei ole ollut asettaa pankeille niin tiukkaa ja laajaa vastuuta kuin mihin viimeaikainen FINE:n oikeuskäytäntö viittaa. PSD2-direktiivin tarkoituksena oli lisätä maksujen turvallisuutta ja samalla tehdä maksuprosesseista sujuvia asiakkaille. PSD2:n artiklan 98 mukaan Euroopan pankkiviranomainen EBA sai valtuudet laatia tekniset standardit, joiden perusteella poikkeukset vahvan asiakastunnistuksen (SCA) vaatimuksesta tehtiin. Poikkeukset SCA-vaatimuksista oli tarkoitus tehdä maksuprosesseista kitkattomia asiakkaille ilman, että maksupetosten riski kasvaisi.

Näin ollen vahvaan tunnistamiseen liittyvä poikkeus ei pankin näkemyksen mukaan sovellu käsillä olevaan tilanteeseen, sillä asiakkaan tapauksessa taloudellista vahinkoa aiheuttaneissa maksutapahtumissa on edellytetty vahvaa tunnistautumista. Asiakkaalle aiheutuneen vahingon perusteena on ollut asiakkaan törkeän huolimattomasti ulkopuoliselle luovutetut verkkopankkitunnukset ja mobiilipankin aktivointikoodit, joiden avulla maksut on voitu hyväksyä. Omien tilien välinen siirto ei ole aiheuttanut asiakkaalle vahinkoa, josta pankki olisi vastuussa.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Verkkopankin ja verkkopankkitunnusten käyttö sekä tunnistuspalvelu – Yleiset sopimusehdot
- Lokitietoja
- Verkkopankkitiedotteet ja kutsut tilaisuuksiin
- Raportti teknisestä tutkinnasta 6.11.2024 ja tutkintaraportin liite
- Asiakkaan tietopyynnöt 3.6.2025 Elisalle ja Telialle
- Elisan sähköpostivastaus 10.6.2025 asiakkaan tietopyyntöön
- Elisan sähköpostivastaus 4.6.2025 asiakkaan tietopyyntöön
- Tiliote

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 38 §:n 1 momentin mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Maksupalvelulain 62 §:n mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin verkkopankkia ja verkkopankkitunnusten käyttöä sekä tunnistuspalvelua koskevien yleisten ehtojen (pankkitunnusehdot) Tunnusten käyttäminen ja säilyttäminen -kohdan mukaan
Pankki antaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu palvelussa edellytetyllä tavalla. Tunnusten käyttäminen vastaa asiakkaan tunnistamista henkilöllisyyden osoittavasta asiakirjasta. Asiakas voi tunnistautua Verkkopankissa myös muun Luottamusverkostoon kuuluvan toimijan kuin pankin antamalla varmenteella tai tunnisteella, jos pankki on hyväksynyt tällaisen varmenteen tai tunnisteen käytön.
Verkkopankkiin liitetään asiakkaan pankissa oleva tili tai tilejä, elleivät asiakas ja pankki ole toisin sopineet. Sopimuksen tekohetken jälkeen Verkkopankkiin voi liittää tai siitä voidaan poistaa tilejä tai muuttaa liitettyjen tilien ominaisuuksia tai palveluja.
Tunnusten käyttäminen pankin Verkkopankissa tai muussa pankin tarjoamassa palvelussa siinä edellytetyllä tavalla vastaa asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit sitovat palvelussa tunnistettua asiakasta sen jälkeen, kun ne on lähetty pankille palvelussa edellytetyllä tavalla.
Tunnukset tai niiden osa voidaan lähettää postitse asiakkaan pankille ilmoittamaan tai Väestörekisterikeskukselta saatuun asiakkaan osoitteeseen, tekstiviestillä asiakkaan pankille ilmoittamaan matkapuhelinnumeroon tai sähköpostiviestinä asiakkaan sähköpostiosoitteeseen, elleivät pankki tai pankkia edustava muu palveluntarjoaja ja asiakas nimenomaisesti toisin sovi. Asiakkaan on ilmoitettava pankille asiakkaan osoite, matkapuhelinnumero ja sähköpostiosoite sekä ilmoitettava välittömästi pankille, mikäli näissä tiedoissa tapahtuu muutos.
Asiakas ei saa luovuttaa tunnuksiaan osaksikaan toiselle henkilölle, ei edes samaan perheeseen kuuluvalle henkilölle. Asiakas ei myöskään saa antaa tunnuksiaan tai niiden osaa Verkkopankin tai Tunnistuspalvelun ulkopuolisille sovelluksille, verkkosivustoille tai muille palveluille.
[…]
Asiakas sitoutuu säilyttämään Verkkopankkitunnuksiin kuuluvat yksittäiset tunnisteet erillään toisistaan ja huolehtimaan siitä, että ne eivät joudu sivullisen haltuun tai tietoon. Sama velvoite koskee myös niitä pankin tarjoamia sovelluksia tai varmenteita, jotka liittyvät pankin tarjoamaan tietoturvalliseen tekniseen menetelmään, jolla voidaan käyttää Verkkopankkia ja muita pankin tarjoamia palveluja. Asiakkaan on käyttäessään tunnuksia päätelaitteessaan suojattava näyttö ja näppäimistö siten, ettei sivullisen ole mahdollista nähdä ja saada tietoonsa tunnuksia tai niiden osia. Pankilla on oikeus antaa tarkempia ohjeita tunnusten säilyttämisestä muuta teknistä menetelmää koskevissa sopimusehdoissa.
Asiakas ei saa ilmaista tunnuksia tai niiden osaa puhelimessa suullisesti niitä kysyvälle eikä antaa tai lähettää niitä tekstiviestillä, sähköpostilla tai muulla viestivälineellä saapuneen pyynnön perusteella. Ainoastaan puhelinyhteydellä pankin asiakaspalveluun (p. xxx xxx xxx) asiakas voi tunnistautua annettujen ohjeiden mukaan käyttämällä tunnuksia päätelaitteessaan.
Verkkopankkitunnuksiin kuuluvia yksittäisiä tunnisteita ei saa kirjoittaa tai tallettaa muistiin helposti tunnistettavassa muodossa. Tunnusten osia ei saa säilyttää yhdessä, kuten samassa säilytyspaikassa kotona, tai esimerkiksi lompakossa tai käsilaukussa. Asiakkaan on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että tunnukset ovat tallessa. Jos tunnukset ovat kadonneet tai ne ovat joutuneet tai ovat saattaneet joutua sivullisen haltuun tai tietoon, asiakas on velvollinen ilmoittamaan tästä välittömästi pankille. Muun kuin pankin myöntämän varmenteen tai tunnisteen katoamisilmoitus on tehtävä varmennetta tai tunnistetta koskevien käyttöehtojen mukaisesti.
[…]
Asiakkaan on tehtävä katoamisilmoitus henkilökohtaisesti tai puhelimitse pankin konttoriin tai pankin ilmoittamaan asiakaspalveluun näiden aukioloaikoina taikka pankin sulkupalveluun (puhelinnumero xxx xxx tai ulkomailta +358 xx xxx).
Asiakas on kuitenkin aina vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Asiakkaan vastuu muun kuin pankin myöntämän varmenteen tai tunnisteen oikeudettomasta käytöstä ja ilmoitusvelvollisuudesta määräytyy varmenteen tai tunnisteen käyttöehtojen mukaisesti.
Pankki voi turvallisuussyistä pyytää lisävahvistuksen asiakkaalta tämän Verkkopankin tai pankin tarjoaman muun sähköisen palvelun kautta antamalle toimeksiannolle. Toimeksianto toteutetaan vasta lisävahvistuksen jälkeen.
Jos muun kuin pankin myöntämän varmenteen tai tunnisteen käyttöehdot ovat ristiriidassa näiden ehtojen kanssa, sovelletaan ensisijaisesti näitä ehtoja.

Pankkitunnusehtojen Tunnistuspalvelun käyttäminen -kohdan mukaan
Jos pankin ja asiakkaan välillä on sovittu Tunnistuspalvelun käytöstä, asiakas voi tunnistautua pankin tarjoamilla tunnuksilla Ulkopuolisen palveluntarjoajan tai Luottamusverkostoon kuuluvan toimijan sähköisissä palveluissa. Asiakkaan tunnukset toimivat tällöin tunnistusvälineenä, ja tunnuksiin sovelletaan tämä sopimuksen mukaisia määräyksiä. Tunnistuspalvelusta sopiessaan pankki noudattaa sen kulloinkin voimassa olevia tunnistusperiaatteita, jotka ovat saatavilla pankin kotisivuilta www.[pankki].fi
[…]

Asian arviointi

Tapahtumienkulku

Pankkilautakunta katsoo asiassa riidattomaksi, että kun asiakkaan tarkoituksena 18.9.2024 on ollut mennä Omakannan verkkosivuille hakukoneen kautta, on hän hakutuloksien kautta ja asiaa itse huomaamatta päätynyt rikollisten luomille valesivuille, joilla hän on käyttänyt verkkopankkitunnuksiaan kirjautuakseen Omakantaan.

Rikolliset ovat valesivujen kautta tietoonsa saamiaan asiakkaan pankkitunnuksia oikeudetta käyttäen aloittaneet pankin tunnistussovelluksen asentamisen omalle laitteelleen, ja pankki on tämän seurauksena lähettänyt asiakkaalle 18.9.2024 klo 17.37 tekstiviestitse tunnistussovelluksensa käyttöönoton edellyttämän koodin. Pankkilautakunta katsoo, että myös viestissä olleen koodin on täytynyt päätyä rikollisten tietoon ja tämä on tapahtunut siten, että asiakas on laittanut tekstiviestitse saamansa koodin em. valesivuilla sitä varten varattuun sarakkeeseen.

Em. koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin tunnistussovelluksen omalle laitteelleen, ja pankki on lähettänyt 18.9.2024 klo 17.38 asiakkaalle käyttöönotosta kertoneen tekstiviestin. Sovellusta käyttäen rikolliset ovat kirjautuneet asiakkaan puhelinoperaattorin palveluun ja hakeneet asiakkaan nimissä eSim-kortin. Rikolliset ovat kirjautuneet em. sovellusta käyttäen asiakkaan verkkopankkiin 18.9.2024 klo 18.06, tehneet siellä klo 18.25 asiakkaan säästötalletustililtä 147.2000 euron siirron asiakkaan käyttötilille ja luoneet siellä 17 maksutoimeksiantoa, joita koskeva pankin asiakkaan numeroon klo 18.29 lähettämä maksunvahvistustekstiviesti on eSim-kortin aktivoimisen seurauksena mennyt rikollisten laitteeseen. Tekstiviestissä olleella koodilla rikolliset ovat voineet klo 18.30 vahvistaa kyseessä olevat yhteismäärältään 170.570,00 euron maksut ulkomaille.

Verkkopankin sisäiset siirrot

Asiakas on tapauksessa ensisijaisesti vedonnut siihen, että hän ei näkemyksensä mukaan ole menetellyt törkeän huolimattomasti, ja hän on toissijaisen vaatimuksensa perusteluna lisäksi vedonnut siihen, että pankki ei ole verkkopankin sisäisen siirron yhteydessä edellyttänyt maksajan vahvaa tunnistamista, ja Pankkilautakunnan ratkaisukäytäntöön tältä osin.

Asiakkaan toissijaisen vaatimuksen osalta Pankkilautakunta toteaa tässä selvyyden vuoksi, että Pankkilautakunnan ratkaisukäytännössä verkkopankin sisällä ilman vahvaa tunnistamista tehdyillä oikeudettomilla siirroilla on voinut olla merkitystä asiakkaan ja pankin välisen vastuunjaon kannalta tapauksissa, joissa kyseisten siirtojen on voitu katsoa vaikuttaneen asiassa aiheutuneen lopullisen vahingon määrän. Näin on voinut olla tapauksissa, joissa asiakas on rikollisten harhaan johtamana itse tullut vahvistaneeksi ja siten antaneeksi maksupalvelulain 38 §:n mukaisen suostumuksensa ulkopuolisille tehdyille ja vahingon realisoineille maksuille taikka tapauksissa, joissa rikolliset ovat esimerkiksi valesivujen kautta asiakkaan törkeän huolimattomuuden seurauksena saaneet tietoonsa kaikki ulkopuolisille tehtävien maksujen tekemisen edellyttämät pankkitunnustiedot, mutta ennen näitä ulkopuolisille tehtyjä maksuja rikolliset ovat asiakkaan verkkopankissa tehneet asiakkaan käytössä olevien tilien välisiä oikeudettomia siirtoja, jotka ovat olleet ulkopuolisille tehtyjen maksujen edellytyksinä.

Tässä tapauksessa ja vastaavissa tapauksissa, joissa rikolliset ovat saaneet käyttöönsä uhrin nimissä olevan pankin tunnistussovelluksen, Pankkilautakunta katsoo, ettei sen, onko pankki edellyttänyt mahdollisten verkkopankin sisäisten siirtojen yhteydessä maksajan vahvaa tunnistamista, voida katsoa vaikuttaneen tai vaikuttavan asiassa aiheutuneen vahingon määrään eikä siten pankin vastuuseen asiassa aiheutuneesta vahingosta, sillä rikolliset olisivat joka tapauksessa voineet vahvistaa verkkopankin sisäiset siirrot käytössään olevalla pankin tunnistussovelluksella.

Näin ollen asiakkaan ja pankin välisen vastuunjaon kannalta ratkaisevaa tässä tapauksessa on yksinomaan se, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Asiakkaan menettelyn arviointi

Pankkilautakunta katsoo asiassa riidattomaksi, että asiakas on hakukoneen käyttämisen seurauksena ja huomaamattaan päätynyt rikollisten luomille Omakannan verkkosivuilta näyttäville valesivuille.

Pankkitunnusehtojen mukaan asiakas voi tunnistautua pankin tarjoamilla tunnuksilla ulkopuolisen palveluntarjoajan sähköisissä palveluissa. Ehtojen mukaan asiakas sitoutuu huolehtimaan siitä, että tunnukset eivät joudu sivullisen haltuun tai tietoon, mutta ehdoissa ei kuitenkaan tarkemmin määritellä, kuinka asiakkaan olisi toimittava ulkopuolisen palveluntarjoajan sähköisiin palveluihin hakeututuessaan taikka niille tunnistautuessaan. Pankkilautakunta katsoo tämän lisäksi, ettei erilaisten verkkohuijausten yleistymisestä ja eri tahojen lisääntyneestä huijauksia koskevasta tiedottamisesta huolimatta yleiseen tietämykseen tapahtuma-aikana voida katsoa kuuluneen tietoa siitä, että pankkien verkkopalveluihin taikka viranomaisten tunnistautumista edellyttäviin palveluihin hakeutuminen hakukoneita käyttäen sisältäisi erityisiä turvallisuusriskejä tai ylipäänsä siitä, että rikolliset voivat saada rikollisiin tarkoituksiin luotuja verkkosivujaan hakukoneiden hakutuloksiin.

Ottaen edellä todetun lisäksi huomioon, ettei valesivujen verkko-osoitteen voida katsoa merkittävällä tavalla poikenneen palvelun oikeasta verkko-osoitteesta taikka siitä, millainen kyseisen palvelun verkko-osoite voisi palvelun tavanomaisen käyttäjän käsityksen mukaan perustellusti olla, Pankkilautakunta katsoo, ettei asiakkaan voida asiassa saadun selvityksen perusteella katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan viranomaisen verkkopalveluun ja käyttäessään siellä pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa ja niitä koskevien ehtojen mukaisessa käyttötarkoituksessa tunnistautuakseen viranomaisen palveluun.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista poikkeavalla tavalla pankin tunnistussovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa verkkoasiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä. Näin ollen Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan.

Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään.

Pankkilautakunta kiinnittääkin tässä tapauksessa erityistä huomiota pankin asiakkaalle lähettämän pankin tunnistussovelluksen aktivointikoodin sisältäneen tekstiviestin suppeaan muotoiluun ja vähäiseen informaatioarvoon.

Tapahtuma-aikaan tämänkaltaiset verkkourkintatapaukset, joissa rikolliset uhreilta valesivujen kautta saamin tiedoin saavat käyttöönsä uhrin nimissä olevan pankin mobiilisovelluksen, olivat jo usean vuoden ajan olleet yleisiä, ja pankin olisi erityisesti tämän johdosta - pankkipalveluiden palveluntarjoajana ja väärinkäytöstilanteiden riskit asiakkaitaan paremmin tuntien - tullut parantaa tämänkaltaisissa tapauksissa usein ratkaisevassa asemassa olevien aktivointikoodi-tekstiviestiensä sisältöä.

Tästä huolimatta pankki ei kyseisessä tekstiviestissään kerro, mihin asiakkaan tulisi syöttää viestissä oleva koodi, eikä kiellä koodin syöttämistä millekään verkkosivuille taikka varoita millään tavalla väärinkäytöksistä tai riskeistä pankkitunnusten ja viestissä olevan koodin käyttämisen suhteen. Tekstiviesti myös vastaa pituudeltaan tekstiviestiä, jonka pankki lähettää tunnustenhaltijalle tämän kirjautuessa pankin tai ulkopuolisen palveluntarjoajan palveluun, ja viestissä olevan koodin pituus myös vastaa kirjautumistilanteessa pankin lähettämää koodia. Nämä huomattavat puutteet pankin tunnistussovelluksen aktivointikoodin sisältävässä tekstiviestissä kohottavat olennaisesti riskiä sille, että pankin asiakas käyttäessään pankkitunnuksiaan rutiininomaisesti tavanomaisessa kirjautumis-/tunnistautumistilanteessa - mutta tosiasiassa rikollisten luomilla valesivuilla - ei huomaa pankilta saamansa viestin eroavan tavanomaisesta kirjautumista koskevasta viestistä.

Pankkilautakunta katsoo tässä tapauksessa ilmeiseksi, että ollessaan käsityksensä mukaisesti kirjautumassa viranomaisen palveluun asiakas on sekoittanut pankiltaan tekstiviestitse saamansa koodin tavanomaiseen pankin tekstiviestitse lähettämään tunnistautumista koskevaan koodiin. Ottaen huomioon, että tekstiviesti on ollut pituudeltaan tavanomaisen tunnistautumista koskevan viestin pituinen ja siinä ollut koodi on myös ollut saman pituinen kuin tunnistautuessa, lautakunta pitää ymmärrettävänä, että ollessaan käsityksensä mukaisesti tunnistautumassa viranomaisen palveluun asiakkaan huomio ei rutiininomaisessa tunnistautumistilanteessa ole kiinnittynyt tekstiviestin sanalliseen sisältöön hänen syöttäessään viestissä ollutta koodia aidoilta näyttäville valesivuille.

Pankki on lähettänyt asiakkaalle sovelluksen käyttöönoton jälkeen sovelluksen käyttöönotosta Samsung-laitteelle kertovan toisen tekstiviestin, jossa pankki myös kehottaa ottamaan heti yhteyttä sulkupalveluun, jos asiakas ei itse ole aktivoinut tunnistussovellusta. Tätä pankin toimintatapaa lähettää tunnistussovelluksen käyttöönotosta kertova tekstiviesti Pankkilautakunta pitää hyvänä ja osaltaan väärinkäytöstilanteissa aiheutuvilta vahingoilta ehkäisevänä vaikkakin tuossa vaiheessa tunnistussovellus saattaa jo olla ulkopuolisen käytössä ja jälkimmäinen pankin viesti saattaa myös jäädä asiakkaan huomaamatta, ja merkittävämmän ehkäisevän vaikutuksen voi siten katsoa olevan sovelluksen aktivointikoodin sisältävän tekstiviestin asianmukaisella ja informatiivisella sisällöllä.

Pankin tunnistussovellus on aktivoitunut heti eikä esimerkiksi viiveellä kuten mahdollista olisi, ja asiassa saadun selvityksen mukaan rikolliset ovat pian sovelluksen käyttöönsä saatuaan tunnistautuneet operaattorin suuntaan sekä hakeneet ja aktivoineet asiakkaan tiedoin eSIM-kortin, minkä jälkeen asiakkaan puhelin ei ole toiminut. Rikolliset ovat myös tehneet riidanalaiset siirrot selvästi alle tunnin sisällä asiakkaan Omakanta-palveluun tunnistautumisyrityksestä. Näin ollen Pankkilautakunta katsoo asiassa jäävän epäselväksi, olisiko asiassa tapahtuneelta vahingolta vältytty, jos asiakas olisi pankin jälkimmäisen viestin huomattuaan ja siinä olleen ohjeen mukaisesti pyrkinyt olemaan yhteydessä sulkupalveluun.

Asiakas ei kertomansa mukaan muista saaneensa kyseistä viestiä, mutta mainitsee kuitenkin, että hänen oma puhelimensa on Samsung, joka viestissä mainitaan ja siten viesti olisi hänen näkemyksensä mukaan ollut looginen jatkumo edelliselle viestille.

Pankin tunnistussovelluksen aktivoinnista kertova viesti on lähetetty asiakkaalle alle minuutti pankin tunnistussovelluksen aktivointikoodin sisältäneen tekstiviestin jälkeen. Pankkilautakunta katsoo asiassa saadun selvityksen perusteella asiakkaan verkkoasioinnin olleen tuossa vaiheessa yhä kesken ja että hänen on tullut havaita myös tämä jälkimmäinen pankin viesti.

Tavanomaisessa pankkitunnuksilla tehtävän tunnistautumisen yhteydessä pankki ei lähetä toista, esimerkiksi tunnistautumisen onnistumisesta kertovaa viestiä. Pankkilautakunta katsookin, että asiakkaan olisi myös pankin jälkimmäisen tekstiviestin johdosta tullut ymmärtää kyseenalaistaa verkkoasiointinsa asianmukaisuus, ja pyrkiä viestissä olleen ohjeen mukaisesti ottamaan yhteyttä sulkupalveluun - näin myös siinä tilanteessa, että hän ei tietäisi, mikä pankin tunnistussovellus tai ylipäänsä sovellus on, ja ei siten ymmärtäisi, mitä pankki tekstiviestillään yrittää viestiä. Pankkilautakunta katsoo, että asiakkaan jätettyä tällä tavoin huomioimatta pankin hänelle hänen verkkoasiointinsa yhteydessä lähettämän tekstiviestin ohjeistuksen Pankkilautakunta asiakkaan menettelyn osoittavan hänen huolimattomuuttaan pankkitunnustenhaltijana.

Yhteenvetona Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan syötettyään tunnistautumistilanteessa verkkosivuille pankin tekstiviestitse lähettämän pankin tunnistussovelluksen aktivointikoodin ja jätettyään reagoimatta pankin sovelluksen käyttöönotosta kertovaan tekstiviestiin. Lautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen varomattomuuttaan.

Ottaen kuitenkin huomioon erityisesti pankin tekstiviestien heikon informaatioarvon sekä sen, että asiakas ei ole tiennyt mikä pankin tunnistussovellus on ja on ymmärtänyt pankin viestien liittyneen tavanomaiseen Omakantaan tunnistautumisen prosessiin, lautakunta katsoo, ettei asiakkaan menettely kokonaisuutena kuitenkaan osoita selvää piittaamattomuutta pankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin eikä siten myöskään maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Näin ollen asiakkaan vastuu pankkitunnusten oikeudettomasta käytöstä rajoittuu 50 euroon.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                    
Sihteeri Hidén

Jäsenet

Atrila
Piilo
Tervonen
Punakivi

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä