FINE-75893-L5T1C0

Tapahtumatiedot

Iäkäs pankin asiakas on saanut pankin nimissä lähetetyn sähköpostiviestin, jossa on ollut linkki asiakastietojen päivittämistä varten. Asiakas on käyttänyt pankkitunnustietojaan linkin takaa avautuneilla pankin sivuilta näyttäneillä rikollisten luomilla verkkosivuilla, ja joutunut näin verkkourkinnan uhriksi.

Rikolliset ovat ottaneet käyttöönsä Hisense E50 Lite -laitteelle asiakkaan nimissä olevan pankin mobiilisovelluksen 20.06.2024 klo 20.24. Mobiilisovelluksen käyttöönotto laitteeseen on edellyttänyt asiakkaan pankkitunnustietoja (käyttäjätunnus, salasana ja tietty luku tunnuslukutaulukosta) sekä pankin asiakkaalle 20.06.2024 klo 20.23 lähettämässä tekstiviestissä ollutta vahvistuskoodia. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:

TÄRKEÄÄ! [Pankin nimi] verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovelluksen nimi] uudessa laitteessa. VARO HUIJAUKSIA! ÄLÄ ANNA VAHVISTUSKOODIA KENELLEKÄÄN TAI MILLEKÄÄN VERKKOSIVUILLE. HUIJAUSSIVUSTOT VOIVAT NÄYTTÄÄ [pankin nimi] SIVUILTA. Koodia käytetään vain [pankin mobiilisovelluksen nimi] käyttöönottoon. Jos et ole itse ottamassa [pankin mobiilisovelluksen nimi] käyttöön, älä käytä koodia ja poista tämä viesti. Jos olet itse ottamassa käyttöön [pankin mobiilisovelluksen nimi], anna vahvistuskoodi 8296 laitteesi [pankin mobiilisovelluksen nimi]. Jos epäilet antaneesi verkkopankkitunnuksesi huijaussivulle, soita heti sulkupalveluun 09 XXXX XXXX (pvm/mpm). Terveisin [pankin nimi].

Käyttöönotetulla pankin mobiilisovelluksella rikolliset ovat vahvistaneet asiakkaan reklamoimat maksut, joita on tehty asiakkaan tililtä ulkopuolisen henkilön tilille 21.6.2024 klo 00.22–00.59 yhteensä 8 000 euron arvosta. Ennen ulkopuoliselle tehtyjä tilisiirtoja, rikolliset ovat siirtäneet luotolta asiakkaan tilille 1 500 euroa sekä tehneet kaksi sisäistä siirtoa asiakkaan hallinnassa olleiden tilien välillä.

Asiakkaan vaatimukset

Asiakas vaatii pankkia korvaamaan hänelle aiheutuneet vahingot 50 euroa ylittäviltä osiltaan.

Asiakas on yhteydenotossaan FINEen kertonut joutuneensa verkkourkinnan uhriksi 20.6.2024 pankin nimissä tulleen sähköpostin myötä. Asiakas on kertonut kirjautuneensa linkistä avautuneille sivuille käyttäjätunnuksella, salasanalla ja tunnuslukutaulukolla. Välittömästi tämän jälkeen hän on kuitenkin lopettanut tietojen ja tunnusten antamisen, koska hänelle on herännyt epäilys huijausviestistä. Hän ei luovuttanut pankin tekstiviestitse lähettämää vahvistuskoodia sivustolle. Asiakas on 21.6.2024 havainnut tililtä hävinneen kaikki rahat, ja tehnyt ilmoituksen pankkiin 24.6.2024 heti pankkikonttorin avauduttua.

Asiakas on asiamiehen välityksin tehnyt FINEn Pankkilautakunnalle ratkaisupyynnön, ja kertonut seuraavaa:

Asiakas on tapahtumahetkellä ollut 77-vuotias. Hän on saanut uuden pankin maksukortin kesäkuussa 2024. Hän on 20.6.2024 saanut sähköpostiinsa viestin, jossa häntä on pyydetty päivittämään asiakastietonsa ja suositeltu kiirehtimään tietojen antamisessa, jotta asiasta “ei tarvitsisi murehtia myöhemmin”.

Asiakas on luullut, että kortin uusimiseen liittyy myös asiakkaan tuntemistietojen päivittäminen ja sen suorittamiseen kehottava sähköpostiviesti on asianmukainen. Asiakkaan tuntemistietojen antaminen pankille on asiakkaiden lakisääteinen velvollisuus, josta muistutetaan myös soveltuvissa pankkitunnusehdoissa.

Asiakas on sähköpostin muotoilun ja sisällön johdosta ajatellut, että sähköposti on asianmukainen ja asialla on yhteys hänen juuri saamaansa uuteen maksukorttiin. Huijausviesti on ammattitaitoisesti laadittu ja kieliasultaan lähes virheetön.

Verkkosivu, jolle linkki ohjaa on [pankin nimi]-asiakaspalvelu-fi-omat-tiedot.ru. Nyttemmin sivu on suljettu, eikä sitä pääse tarkastelemaan. Lukuun ottamatta loppupäätettä sivuston osoite vaikuttaa aivan asialliselta.

Asiakas on painanut sähköpostissa olevaa linkkiä ja syöttänyt avautuneelle, pankin sivuston näköiselle, myöhemmin valesivuksi osoittautuneelle, sivulle käyttäjätunnuksensa sekä salasanansa. Tässä vaiheessa asiakasta on alkanut epäilyttämään tilanne, ja hän on lopettanut sivuston käytön. Asiakas ei ole syöttänyt mitään koodia eikä hän ole saanut alla mainittua pankin tekstiviestiä. Myöhemmin asiakkaalle on käynyt selville, että kyseessä on pankin sivuilta näyttävä rikollisten luoma valesivusto.

Asiakas ei ole ollut tietoinen, että pankki ei koskaan lähettäisi sähköpostilla tällaista viestiä, joka liittyy asiakkaan tuntemiseen. Ylipäätänsä on perusteetonta olettaa, että jokainen asiakas, erityisesti ikääntynyt asiakas, olisi joka hetki tietoinen siitä, että pankit eivät lähettäisi tällaisia viestejä sähköpostilla erityisesti, kun pankki asioi asiakkaidensa kanssa sähköpostilla. Sähköpostin käyttämisestä erilaiseen viestintään ja asiakirjojen toimittamiseen mainitaan myös pankin ehtojen useissa kohdissa. Ylipäätänsä ehtojen ensimmäisellä sivulla mainitaan ja korostetaan, että “Muista erityisesti, että pankit tai viranomaiset eivät koskaan tiedustele verkkopankkitunnuksiasi tai muita tunnuksiasi puhelimitse tai sähköpostilla.” Näin tässä tapauksessa ei ole tapahtunut, sillä asiakkaalle lähetetyssä sähköpostissa ei tiedustella verkkopankkitunnuksia, vaan pyydetään päivittämään asiakastiedot ja ohjataan pankin sivuille. On perusteltua katsoa, että ikääntynyt asiakas, joka on mahdollisesti lukenut ehdot vuosia aikaisemmin ottaessaan ensimmäisen kerran pankin verkkopankin käyttöönsä, muistaisi ensimmäisellä sivulla mainitun ja korostetun kohdan, mutta ei monisivuisissa ehdoissa olevia kaikkia muita kohtia.

Pankki lähettää toistuvasti sähköpostilla viestejä, joissa on linkkejä myös verkkopalveluihin. Tämän osalta asiakas vetoaa 25.11.2024 pankista lähetettyyn viestiin liittyen verkkopankin käyttökatkokseen sekä kuukausittaisiin viesteihin kertyneistä bonuksista, jotka molemmat sisältävät linkkejä. Tavalliselle kuluttajalle, saati ikääntyneelle kuluttajalle, ei ole lainkaan itsestään selvää, milloin kyse on pankin viestinnästä. Asiakkaalle on siten muodostunut käsitys siitä, että valesivustolle ohjanneessa viestissä kyse on ollut pankin lähettämästä sähköpostista.

Sinänsä pankkitunnusehdoissa mainitaan, että pankin verkkopankkitunnuksia ei saisi käyttää, mikäli linkki kirjautumissivulle on lähetetty sähköpostilla. On kuitenkin kohtuutonta odottaa, että lähes 80-vuotias asiakas voisi sisäistää, ymmärtää ja muistaa monisivuiset ehdot, jossa tämä kielto on mainittuna yhden kerran sitä mitenkään korostamatta. Toisaalta taas pankin ehdoissa on useissa kohdissa mainittu, että pankki käyttää viestinnässään sähköpostia ja mm. että “Sähköinen ilmoitus on esimerkiksi sähköposti, tekstiviesti tai verkkopankissa lähetetty viesti.”

Kokonaisuudessaan, asiakkaan huolimattomuutta arvioitaessa on siten otettava huomioon, että hänelle on muodostunut perusteltu syy pankin edellyttävän hänen päivittävän asiakastietonsa, sillä hänelle on vasta vähän aiemmin uusittu kortti, asiakas ei ole ollut miltään osin tietoinen siitä, etteikö pankki tiedustelisi tai voisi pyytää asiakastietojen päivittämistä lähettämällä asiasta sähköpostin sillä pankki käyttää viestinnässään linkkejä sisältäviä sähköpostia.

Pian sen jälkeen, kun asiakkaan tili on saatu tavalla tai toisella hallintaan, ovat huijarit ryhtyneet siirtämään tilillä olevia rahoja toisen henkilön tilille. Huijarit ovat odottaneet kuitenkin sen aikaa, että vuorokausi on ehtinyt vaihtua juhannusaaton puolelle, jolloin on ollut oletettavaa, että ihmiset eivät ole puhelimiensa ääressä tai muutenkaan tarvitse puhelintaan keskellä yötä. Siirrot on tehty juhannusaattona 21.6.2024 klo 00.22-00.59. Lisäksi huijarit ovat nostaneet luottoa 1 500 euroa. Huijarit ovat tehneet myös kaksi asiakkaan hallinnassa olevien tilien välistä tilisiirtoa: Ensin, mitä ilmeisimmin kokeilumielessä, asiakkaan puolisolle 900 euroa ja hetkeä myöhemmin puolison tililtä 1 190 euroa takaisin asiakkaan tilille. Asiakkaan tililtä on 21.6.2024 klo 00.22–00.59 tehty 80 kappaletta 100 euron tilisiirtoja toisen henkilön tilille. Kokonaisuudessaan asiakkaalta on siten rikoksella viety 37 minuutin aikana yhteensä 8 000 euroa.

Asiakas on juhannuksen jälkeen, 25.6.2024 havainnut, että hänen tililtään on tehty oikeudettomia siirtoja juhannuksen aikana ja että hänen tilinsä on tyhjennetty. Asiakas on viipymättä ottanut yhteyttä pankin asiakaspalveluun.

Asiakas on reklamoinut pankille ja pyytänyt vahinkojensa korvaamista. Pankin vastauksesta on selvinnyt seuraavaa: pankin sovellus, jolla asiakkaan tiliä on käytetty, on ladattu laitteelle Hisense E50 Lite 20.6.2024 klo 20.24. Jo tässä vaiheessa on hyvä havaita, että tämän valmistajan puhelimia ei myydä Suomessa eikä niitä tuoda Suomeen.

Pankin mukaan asiakkaalle on 20.6.2024 klo 20.23 lähetetty alla oleva tekstiviesti:

“TÄRKEÄÄ! [Pankin nimi] verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovelluksen nimi] uudessa laitteessa. VARO HUIJAUKSIA! ÄLÄ ANNA VAHVISTUSKOODIA KENELLEKÄÄN TAI MILLEKÄÄN VERKKOSIVUILLE. HUIJAUSSIVUSTOT VOIVAT NÄYTTÄÄ [pankin nimi] SIVUILTA. Koodia käytetään vain [pankin mobiilisovelluksen nimi] käyttöönottoon. Jos et ole itse ottamassa [pankin mobiilisovelluksen nimi] käyttöön, älä käytä koodia ja poista tämä viesti. Jos olet itse ottamassa käyttöön [pankin mobiilisovelluksen nimi], anna vahvistuskoodi 8296 laitteesi [pankin mobiilisovelluksen nimi]. Jos epäilet antaneesi verkkopankkitunnuksesi huijaussivulle, soita heti sulkupalveluun 09 XXXX XXXX (pvm/mpm). Terveisin [pankin nimi].”

Asiakas ei tiedä, mistä verkkorikolliset ovat saaneet tekstiviestissä mainitun koodin ja/tai koko tekstiviestin haltuunsa. Vaikka asiakas olisikin saanut viestin, niin ikääntyneelle asiakkaalle tästäkin, kieltämättä pitkästä, viestistä on voinut syntyä käsitys, että viesti liittyisi uuden maksukortin käyttöönottoon tai asiakkaan tuntemiseen. Jälkikäteen tarkasteltuna viestin sisältö riidattomasti viittaa pankin mobiilisovelluksen käyttöönottoon, mutta tilannetta on tarkasteltava asiakkaan yksilöllisten ominaisuuksien sekä niiden tietojen sekä olettamusten kautta, jotka hänellä on tuolloin ollut.

Pankin lähettämä viesti on pitkä ja iäkkäälle henkilölle vaikeaselkoinen. Asiakas ei itse tunnista, että olisi saanut kyseistä tekstiviestiä eikä sitä myöskään ole löytynyt asiakkaan matkapuhelimesta jälkikäteen.

Jo tässä vaiheessa on hyvä huomata, että mobiilipankkisovellus, jota ollaan oltu ottamassa käyttöön, on ladattu edellä mainitulle matkapuhelimelle vasta sen jälkeen, kun pankki on väittämänsä mukaan lähettänyt edellä mainitun tekstiviestin asiakkaalle.

Asiakas tuo esille maksupalvelulain 38, 53 ja 54 §:t. Maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle. Asiakas on asiointinsa ajan ja pankkitunnuksiaan verkkopankin verkkosivuilta näyttäneillä valesivuilla käyttäessään luullut asioivansa pankkinsa kanssa ja näin ollen on selvää, että hän ei ole tietoisesti luovuttanut mitään tietojaan niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tarkoitetusta tunnusten luovuttamisesta.

Asiakkaalla ei ole tietoa, miten hänen verkkopankkiaan käytettäessä maksupalveluntarjoaja ja maksutoimeksiantoja tehtäessä pankki on pystynyt tunnistamaan asiakkaan vahvasta sähköisestä tunnistautumisesta annetun lain mukaisesti. Täysin riidatonta on kuitenkin, että asiakas ei itse ole yhtään maksutoimeksiantoa antanut.

Asiakas tuo esille lisäksi maksupalvelulain 63 ja 72 §:t. Maksupalvelulain esitöiden (169/2009 vp s 75) mukaan törkeällä huolimattomuudella tarkoitetaan sellaista erittäin vakavaa varomattomuutta, joka osoittaa selvästi piittaamatonta suhtautumista maksuvälineen hallintaan ja käyttöön liittyviin turvallisuusriskeihin. Yleisesti törkeällä huolimattomuudella tarkoitetaan tahallisuutta lähentelevää piittaamattomuutta.

Asiakkaan menettely ei siten ole ollut lähelläkään tahallisuutta. Asiakas myöntää, että hän on toiminut huolimattomasti, kun ei ole tarkastanut sähköpostiviestin lähettäjän osoitetta. Sen sijaan se, että hän ei ole ollut tietoinen pankkitunnusehdoissa määrätystä kiellosta syöttää sähköpostilla tulleen linkin kautta avautuville, pankin verkkosivujen näköisille sivuille verkkopalvelutunnuksiaan, ei osoita hänessä tavallisuudesta poikkeavaa huolellisuuden laiminlyöntiä eikä välinpitämätöntä suhtautumista sopimuksen noudattamiseen.

Asiakas on alusta saakka kiistänyt missään vaiheessa saaneensa pankin tekstiviestiä, saati antaneensa siinä mainittua tunnuslukua mihinkään. Pankki ei ole selvittänyt asiakkaalle, miten, mistä, millä laitteella ja koska koodi on annettu. Täysin poissuljettua ei ole sekään, että pankin tekstiviestissä mainitun koodin ovat huijarit onnistuneet arvaamaan. Pankki ei ole antanut selvitystä siitä, onko varmistuskoodi annettu ensimmäisellä kerralla oikein. Asiakkaalla ei myöskään ole tiedossaan, onko koodia mahdollista yrittää antaa useamman kuin yhden kerran. Pankin selvityksestä ei käy ilmi muuta kuin, että pankin mobiilisovellus, jota ollaan ottamassa käyttöön, on ladattu laitteelle ja että asiakkaalle on pankin väitteen mukaan lähetetty yllä mainittu tekstiviesti. Pankin antamista selvityksistä ei käy ilmi, onko pankin mobiilisovellus, jolla asiakkaan tiliä on käytetty, ollut edellä mainittu laite eikä sitä, koska väitetty koodi on siihen syötetty tai mistä.

Riitaiseksi asiassa jää siten se, että onko asiakas saanut pankin väittämällä tavalla tekstiviestin, jossa viitataan uuden mobiilipankkisovelluksen käyttöönottoon. Samoin epäselväksi on jäänyt, onko asiakas syöttänyt tekstiviestissä olevaa koodia jollekin sivulle. Vaikka asiakas olisikin tekstiviestin saanut ja sen sisältämän koodin syöttänyt sivuille, joiden avulla rikolliset ovat saaneet asiakkaan nimissä olevan pankin mobiilisovelluksen hallintaansa, ei vielä osoita sitä, että asiakas olisi toiminut törkeän huolimattomasti. Tämä seikka on ratkaistava ottamalla huomioon asiakkaan ikä sekä perusteltu olettamus siitä, että ylipäätänsä koko sähköpostilla tullut kysely oli seurausta hänen uuden maksukorttinsa käyttöönotosta ja siihen liittyvästä tuntemisvelvollisuudesta.

Rahanpesulain 2 luvun 4 § 2 mom. mukaan ilmoitusvelvollisen on järjestettävä asiakkaan toiminnan laatuun ja laajuuteen, asiakassuhteen pysyvyyteen ja kestoon sekä riskeihin nähden riittävä seuranta sen varmistamiseksi, että asiakkaan toiminta vastaa sitä kokemusta ja tietoa, joka ilmoitusvelvollisella on asiakkaasta ja tämän toiminnasta.

Asiakkaan tilillä ei ole ollut käytännössä juuri mitään rahaliikennettä osuuskaupoista tehdyistä ostoksista kertyneitä bonuksia lukuun ottamatta. Asiakas ei myöskään ole aktiivisesti käyttänyt pankin mobiilisovellusta, vaan pääosin ainoastaan katsonut bonustietojaan. Ennen rahojen anastamista asiakas on kuitenkin siirtänyt tililleen 6 000 euroa, sillä hän on saanut pankilta mainoksen, jossa on luvattu korkeaa korkoa. Asiakas on halunnut käyttää hyödykseen tarjouksen, siirtänyt rahaa pankin tilille ja käynyt kysymässä korkotarjouksen hyödyntämisestä asiakaspalvelussa. Siellä ei ole kuitenkaan osattu auttaa asiassa ja rahat ovat jääneet asiakkaan tilille. On siis ollut äärimmäisen poikkeuksellista, että asiakkaan tililtä on yhtäkkiä lähtenyt kymmeniä samansuuruisia samalle vastaanottajalle ja samalla viestillä tehtyjä siirtoja erittäin lyhyen ajan sisällä.

Rahanpesulain mukaisista velvollisuuksistaan huolimatta pankki ei ole mitenkään reagoinut asiakkaan tilin äärimmäisen poikkeuksellisiin tapahtumiin tai ryhtynyt selvittämään miksi rahaliikenne yhtäkkiä on monikymmenkertaistunut.

Pankin petosasiantuntijan mukaan pankki valvoo maksuliikennettä samalla tavalla riippumatta siitä, onko maksu kotimaan sisäinen maksu, euromaksualueen maksu tai ulkomaanmaksu. On selvää, että 80 peräkkäisen 100 euron maksun suorittaminen juhannusaattoyönä poikkeaa asiakkaan tavanomaisesta maksuhistoriasta ja että ainakaan asiakkaan tilin osalta maksuliikennettä ei ole valvottu millään lailla.

Palveluntarjoajan kanta

Pankki kiistää asiakkaan vaatimukset.

Tapahtumien kulku ja asiakkaan vaatimukset on esitetty asiakkaan asiamiehen toimittamassa materiaalissa ja asiakkaalle annetussa ratkaisussa, jota pankki on toimittanut liitteenä. Pankki pitäytyy ratkaisussa esitetyssä kannassaan.

Pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja koodi tunnuslukutaulukosta sekä tekstiviestillä lähetetty vahvistuskoodi. Ilman näitä tietoja pankin mobiilisovelluksen käyttöönotto ei ole mahdollista.

Asiakas myöntää syöttäneensä muut tiedot, mutta kiistää antaneensa sivustolle pankin mobiilisovelluksen lataamiseksi tarvittavan vahvistuskoodin. Pankin järjestelmätietojen mukaan pankki on lähettänyt asiakkaan puhelinnumeroon alla olevan viestin 20.06.2024 kello 20.23:

Viestissä kerrotaan yksiselitteisesti, että se liittyy pankin mobiilisovelluksen käyttöönottoon uudessa laitteessa. Viestissä kielletään syöttämästä koodia verkkosivuille. Mikäli asiakas olisi toiminut viestin ohjeen mukaisesti, olisi reklamoiduilta tapahtumilta vältytty. Pankki katsoo, että asiakas ei ole lukenut tekstiviestiä huolellisesti tai on tahallisesti toiminut sen ohjeistuksen vastaisesti. Pankin järjestelmätietojen mukaan pankin mobiilisovellus, jolla tapahtumat on vahvistettu, on ladattu laitteelle Hisense E50 Lite 20.06.2024 klo 20.24. Näin ollen asiakkaan on täytynyt syöttää koodi verkkosivuille tai muuten luovuttaa se kolmannen haltuun.

Pankin mobiilisovellus on otettu käyttöön 20.06.2024 klo 20.24. Sen käyttöönottoon vaaditaan tekstiviestitse lähetetyn vahvistuskoodin oikeinsyöttäminen kyseiseen mobiilisovellukseen. Koodi on siis syötetty oikein yllä mainittuun laitteeseen, jolla tapahtumat on vahvistettu.

Pankin mobiilisovellus on vahva sähköinen tunnistusväline ja reklamoidut tapahtumat on hyväksytty käyttöönotetulla pankin mobiilisovelluksella. Asiakas on luovuttanut verkkopankkitunnuksensa ja pankin mobiilisovelluksen lataamiseksi tarvittavan vahvistuskoodin kolmannen haltuun, joten asiakas vastaa vahvan sähköisen tunnistusvälineensä käytöstä.

Pankin monitorointi järjestelmä on toiminut tapahtumahetkellä normaalisti ja se on sääntelyn edellyttämällä tasolla. Asiakkaan tuntemista koskevat velvoitteet on hoidettu sääntelyn edellyttämällä tasolla.

Sähköpostissa olevien linkkien osalta pankki toteaa, ettei se koskaan kysy pankkitunnuksiasi, luottokorttitietojasi tai muita arkaluonteisia tietoja tekstiviestillä, sähköpostiviestillä tai puhelimitse. Pankin viestinnässä asiakasta ei koskaan ohjata suoraan verkkopankkikirjautumiseen johtavalle sivulle. Valituskirjeessä viitattu tiedotteen linkki on vienyt ohjesivustolle.

Yhteenvetona pankki toteaa asiakkaan toimineen pankkitunnusehtojen tunnistusvälineiden säilyttämistä koskevan vastaisesti ja luovuttaneen verkkopankkitunnuksensa sekä pankin mobiilisovelluksen lataamiseen tarvittavan vahvistuskoodin rikollisten haltuun syöttämällä verkkopankkitunnuksensa rikollisen ylläpitämälle huijaussivustolle.

Pankki katsoo, asiakas on toiminut maksupalvelulain 62 §:ssä tarkoitetulla tavalla törkeän huolimattomasti. Näin ollen asiakas vastaa reklamoiduista tapahtumista täysimääräisesti.

Sopimusehdot ja lainsäädäntö

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin 7.10.2021 alkaen voimassa olleiden digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen tunnistusvälineiden säilyttämistä koskevan kohdan mukaan
[…]
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
[…]

Pankkitunnusehtojen katoamisilmoituksentekemistä koskevan kohdan mukaan

Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi asiassa on arvioitava, onko maksuvälineen oikeudeton käyttö johtunut siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on ollut.

Tapahtumakulku

Asiassa on riidatonta, että kyse on maksuvälineen oikeudettomasta käytöstä, eikä asiakas ole antanut maksupalvelulain 38 §:n mukaista suostumustaan maksutapahtumille.

Pankki on tapauksessa esittänyt järjestelmätietoihinsa perustuvan selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. FINEllä ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

FINE katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn sähköpostin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on käyttänyt verkkopankkitunnuksiaan (käyttäjätunnus, salasana, luku tunnuslukulistasta) luullessaan asioivansa pankkinsa kanssa asiakastietojen päivittämistarkoituksessa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen käyttöönoton omalle laitteelleen. Tämän johdosta pankki on lähettänyt 20.6.2025 klo 20.23 asiakkaalle mobiilisovelluksensa käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin, joka on ollut sisällöltään seuraavanlainen:

Asiakas ei tiedä, miten tekstiviestissä ollut koodi on päätynyt rikollisille. Asiakas on pitänyt mahdollisena, että rikolliset ovat arvanneet koodin oikein. Tämän osalta FINE toteaa, että koodi on syötetty rikollisten laitteessa olevaan pankin mobiilisovellukseen oikein minuutissa siitä, kun pankki on lähettänyt sen asiakkaan puhelinnumeroon. FINE ei pidä todennäköisenä, että rikolliset olisivat arvanneet nelinumeroisen koodin alle minuutissa oikein.

FINE katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että myös pankin asiakkaalle tekstiviestitse lähettämä pankin mobiilisovelluksen vahvistuskoodi on päätynyt rikollisten tietoon siten, että asiakas on syöttänyt tiedon em. valesivuille mahdollisesti sisäänkirjautumistarkoituksessa. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Nyt kyseessä olevat oikeudettomat maksutapahtumat rikolliset ovat tehneet em. pankin mobiilisovelluksella vahvistaen.

Pankkitunnusten luovuttaminen

Pankin mukaan asiakas on luovuttanut verkkopankkitunnuksensa ja pankin mobiilisovelluksen lataamiseksi tarvittavan vahvistuskoodin ulkopuoliselle. Tämän osalta FINE toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.

Tässä tapauksessa asiakas on pankkitunnuksiaan verkkopankin verkkosivuilta näyttäneillä valesivuilla käyttäessään luullut asioivansa pankkinsa kanssa. Näin ollen FINE katsoo, että asiakas ei ole tietoisesti luovuttanut pankkitunnustietojaan niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai pankkitunnusehdoissa tarkoitetusta tunnusten luovuttamisesta.

Asiakkaan menettelyn arviointi

Soveltuvissa pankkitunnusehdoissa kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla. Koska asiakas on käyttänyt pankkitunnuksiaan sähköpostissa olleen linkin kautta avautuneilla sivuilla, FINE katsoo asiakkaan laiminlyöneen pankkitunnusehtojen mukaisia velvollisuuksiaan.

FINE kuitenkin kiinnittää huomiota siihen, että rikollisten lähettämä sähköpostiviesti on tullut pankin nimissä, muistuttanut ulkoasultaan pankin viestintää ja koskenut asiakastietojen päivittämistä, minkä vuoksi asiakkaan ei voida edellyttää ymmärtävän viestin ulkoasun ja sisällön perusteella, ettei viesti ollut pankin lähettämä. Lisäksi moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin – ml. pankit – lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä viestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan viestin ja viestissä olevan linkin asianmukaisuutta. Vaikka pankin lähettämän linkin kautta avautuvilla sivuilla ei edellytettäisi pankkitunnusten käyttämistä, voi tämä pankin toimintatapa lähettää asiakkailleen linkkejä sisältäviä viestejä osaltaan vaikuttaa siihen, että pankin asiakkaat eivät ymmärrä kyseenalaistaa tämänkaltaisia pankin nimissä tulleita yhteydenottoja ja joutuvat alttiiksi tämäntyyppiselle rikollisuudelle.

Asiakas on verkkosivujen näkymän perusteella luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan (käyttäjätunnus, salasana ja tietty luku tunnuslukutaulukosta). FINE katsoo, että asiakkaan laiminlyönti pankkitunnusehtojen noudattamisen suhteen osoittaa edellä mainituilta osiltaan korkeintaan perusmuotoista huolimattomuutta.

Pankkilautakunnan vakiintuneen ratkaisulinjan mukaan huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluu se, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään.

Nyt arvioitavassa tapauksessa mobiilisovelluksen käyttöönottokoodin sisältänyt tekstiviesti on ollut sisällöltään informatiivinen, ja siinä on kerrottu asianmukaisesti, mitä asiakkaan pankkitunnustiedoilla ollaan tekemässä ja mihin tarkoitukseen viestissä ollutta aktivointikoodia käytetään. Siinä on myös kehotettu ottamaan yhteyttä pankkiin, jos ei ole itse ottamassa käyttöön pankin mobiilisovellusta. Viestissä on varoitettu huomiota herättävillä isoilla kirjaimilla asiakasta huijauksen ja valesivujen mahdollisuudesta sekä kielletty syöttämästä koodia muualle kuin pankin mobiilisovellukseen.

FINE katsoo, että saatuaan asiakastietojen päivittämis- ja kirjautumistilanteessa pankin mobiilisovelluksen käyttöönottoa koskevan tekstiviestin asiakkaan olisi erityisesti tekstiviestin sisältö ja huomiota herättävä muotoilu huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus, jättää saamansa koodi syöttämättä verkkosivuille ja ottaa yhteyttä pankkiin viestissä olleen ohjeen mukaisesti. Asiakas on kertonut lopettaneensa tietojen syöttämisen sivustolle, kun hänelle heräsi epäilys huijausviestistä, mutta asiassa ei ilmene, minkä vuoksi hän ei vielä tuolloin ottanut yhteyttä omaan pankkiinsa. Mikäli asiakas olisi tuossa vaiheessa ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Yllä mainitun perusteella FINE katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin sekä pankkitunnusehtojen mukaisia velvollisuuksiaan.

Asiakkaan syötettyä valesivuille pankkitunnustietojensa ohella pankin tekstiviestitse lähettämän koodin mahdollisesti lukematta viestin sisältöä tai ainakin sen sisältöä menettelyssään huomioimatta on asiakkaan menettelyn kokonaisuutena katsottava poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen FINE katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavaan täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Pankin velvollisuus valvoa maksuliikennettä rahanpesun estämiseksi

Asiakas on tapauksessa vedonnut siihen, että pankin olisi tullut valvoa asiakkaan maksuliikennettä.

Maksupalvelusääntelyn perusteella pankeilla on oltava käytössään maksutapahtumien valvontamekanismit, joiden avulla ne voivat havaita oikeudettomat ja petolliset maksutapahtumat. Pankkilautakunta on vakiintuneessa ratkaisukäytännössään (kuten FINE-71529-W1F8J0, ratkaistu 25.04.2025) todennut, että tällä velvollisuudella ei kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta, eikä pankki siten ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa yksinomaan sillä perusteella, ettei se ole estänyt ko. oikeudettomia maksuja.

Lopputulos

FINE ei suosita asiassa hyvitystä.

FINE Vakuutus- ja rahoitusneuvonta

Jaostopäällikkö Hidén
Esittelijä Tykkä

Haku