FINE-76425-X1M1S0

Tapahtumatiedot

Asiakas on klikannut Facebookissa ollutta mainosta, jossa pankki on luvannut eläkeläisille 1 500 euron lahjan. Asiakkaan pankkitunnustiedot ovat joutuneet ulkopuolisen haltuun asiakkaan syötettyä mainoksen linkin takaa avautuneelle verkkosivustolle pankkitunnustietonsa.

Asiakkaan nimissä oleva uusi pankin mobiilisovellus on otettu käyttöön puhelin-nimetylle laitteelle. Mobiilisovelluksen käyttöönotto laitteeseen on edellyttänyt asiakkaan pankkitunnustietoja (käyttäjätunnus, salasana ja tietty luku tunnuslukutaulukosta) sekä pankin asiakkaalle 19.3.2025 klo 15.17 lähettämässä tekstiviestissä ollutta vahvistuskoodia. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:

“TÄRKEÄÄ! [Pankin] verkkopankkitunnuksillasi ollaan ottamassa käyttöön [Pankin mobiilisovellusta] uudessa laitteessa. VARO HUIJAUKSIA! ÄLÄ ANNA VAHVISTUSKOODIA KENELLEKÄÄN TAI MILLEKÄÄN VERKKOSIVUILLE. HUIJAUSSIVUSTOT VOIVAT NÄYTTÄÄ PANKIN SIVUILTA. Koodia käytetään vain [pankin mobiilisovellus] käyttöönottoon. Jos et ole itse ottamassa [pankin mobiilisovellus] käyttöön, älä käytä koodia ja poista tämä viesti. Jos olet itse ottamassa käyttöön [pankin mobiilisovellus], anna vahvistuskoodi xxxx laitteesi [pankin mobiilisovellus]. Jos epäilet antaneesi verkkopankkitunnuksesi huijaussivulle, soita heti sulkupalveluun xx xxxx xxxx (pvm/mpm). Terveisin [Pankki]”

Käyttöönotetulla pankin mobiilisovelluksella rikollinen on tehnyt tililtä, johon asiakkaalla on ollut käyttöoikeus, yhteensä 26 oikeudetonta tilisiirtoa yhteensä 7 658 euroa ulkopuolisen henkilön tilille. Ennen ulkopuoliselle tehtyjä tilisiirtoja, rikolliset ovat siirtäneet luotolta varoja asiakkaan tilille sekä tehneet kolme sisäistä siirtoa asiakkaan hallinnassa olleiden tilien välillä. Asiakas on sulkenut pankkitunnuksensa 20.3.2025 klo 14.17. Oikeudettomat tapahtumat tehtiin ennen sulkua klo 1.11–2.11 välisenä aikana.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan 7 658 euroa.

Asiakas on kiistänyt syöttäneensä pankkitunnustietojaan millekään selvästi huijaustarkoituksessa tehdylle sivustolle. Asiakkaan mukaan hän näki Facebookissa mainoksen, joka oli julkaistu pankin nimissä ja vaikutti täysin aidolta. Mainoksessa ilmoitettiin, että ”eläkeläisille takaisinmaksuton 1 500 euron kampanja on käynnissä – hae nyt!” Asiakas klikkasi mainoksessa ollutta linkkiä ja siirtyi sen kautta verkkosivulle, joka näytti asiakkaan käsityksen mukaan täysin pankin omalta sivustolta. Tälle sivulle hän on syöttänyt pankkitunnuksensa.

Asiakas on todennut, että kyseinen verkkosivu sisälsi runsaasti pankin visuaalista materiaalia, mainoksia ja mahdollisesti myös aiempien käyttäjien jättämiä kommentteja, joiden perusteella sivuston aitouden arviointi oli poikkeuksellisen vaikeaa. Asiakas on vedonnut siihen, että tavallisella käyttäjällä ei ole teknisiä tai sisällöllisiä valmiuksia erottaa huijaussivustoa aidosta pankin verkkosivusta.

Asiakkaan näkemyksen mukaan pankki ei ole toiminut riittävän aktiivisesti estääkseen huijauksia, vaikka se on todennäköisesti ollut tietoinen siitä, että sen nimeä ja brändiä käytetään systemaattisesti petollisiin tarkoituksiin sosiaalisessa mediassa. Lisäksi asiakas korostaa, ettei kyseisellä huijaussivustolla ollut mitään varoituksia siitä, että sivu ei olisi aito tai että kyseessä voisi olla huijaus.

FINElle toimittamassaan lisäkirjelmässä asiakas on todennut, että pelkkä yleisluontoinen varoitus mahdollisista huijauksista ei ole riittävä toimenpide. Pankin tulisi viestiä tällaisista riskeistä konkreettisesti ja selkeästi ja sellaisella tavalla, että myös tavallinen verkkopankin käyttäjä – ei vain pankin henkilökunta – ymmärtää tilanteen mahdollisen vaaran. Asiakas on sitä mieltä, että pankki on laiminlyönyt velvollisuutensa estää huijauksen toteutumisen, vaikka se on ollut tietoinen petollisesta toiminnasta, jossa sen nimeä käytetään hyväksi tällaisessa toiminnassa.

Lisäksi asiakas katsoo, että pankki on jättänyt tekemättä tarvittavat lisävarmistukset maksutapahtumista, jotka selkeästi poikkesivat hänen aiemmasta maksukäyttäytymisestään. Asiakas tuo esiin, että aiemmissa tapauksissa pankki on esimerkiksi ulkomaille suuntautuvien maksujen yhteydessä ollut häneen puhelimitse yhteydessä ja varmistanut siirtojen oikeellisuuden. Nyt tällaisia tarkistuksia ei tehty, vaikka tilitapahtumien luonne ja ajoitus antoivat aihetta lisäselvitykselle.

Pankin vastine

Pankki kiistää asiakkaan vaatimuksen täysmääräisesti.

Pankki perustelee kiistämistään sillä, että asiakas on itse syöttänyt verkkopankkitunnukset sekä tekstiviestillä tulleen vahvistuskoodin kolmannelle osapuolelle vastoin ehtoja ja turvaohjeita, ja katsoo, että asiakas on rikkonut pankin digitaalisten palvelujen ehtojen mukaista huolellisuusvelvoitetta. Pankki on vedonnut siihen, että asiakas on antanut verkkopankkitunnuksensa saamastaan linkistä avautuneelle sivustolle vastoin pankin Digitaalisia palveluja koskevien ehtojen nimenomaista kieltoa.

Jotta rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin tunnistussovelluksen, heillä on pitänyt olla tiedossaan asiakkaan digipalvelutunnukset (käyttäjätunnus, salasana ja avainluku) sekä pankin tunnistussovelluksen aktivointiin vaadittava salasana. Pankin lokitietojen mukaan asiakkaalle on lähetetty 19.3.2025. kello 15.17 asiakkaan pankille ilmoittamaan numeroonsa seuraavan sisältöinen tekstiviesti:

Tämän jälkeen asiakas on antanut pankin tekstiviestitse lähettämän vahvistuskoodin huijaussivustolle, vaikka tekstiviestin selkeän sanamuodon mukaan se oli tarkoitettu pankin mobiilisovelluksen käyttöönottoon uudessa laitteessa ja siinä yksiselitteisesti kiellettiin antamasta koodia verkkosivuille.

Koska asiakkaan verkkopankkitunnukset ja tekstiviestinä lähetetty vahvistuskoodi ovat päätyneet rikollisille edellä kuvatulla tavalla, pankki katsoo, että asiakkaan toiminta on ollut maksupalvelulain sekä pankin verkkopalvelua koskevien sopimusehtojen mukaisesti törkeän huolimatonta ja näin ollen asiakas vastaa oikeudettomista tapahtumista seuranneesta vahingosta täysimääräisesti.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- asiakkaan toimittama kuvakaappaus Facebook-mainoksesta
- tiliotteita

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan arvioitavana on, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1–2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin digitaalisten yleisten ehtojen tunnistusvälineiden säilyttämistä kohdan mukaan:
Verkkopankkitunnukset ja laitteeseen ladattu [pankin tunnistussovellus] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle. Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin tunnistussovellus] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa. Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa. Huomioi erityisesti seuraavat asiat: Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle. Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
(…)

Asian arviointi

Tapahtumien kulku

Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on klikkaamansa linkin kautta avautuneille rikollisten luomille valesivuille syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankkinsa kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen käyttöönoton omalle puhelin-nimeämälleen laitteelle. Tämän johdosta pankki on lähettänyt asiakkaalle 19.3. klo 15.17 tunnistussovelluksensa käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin. Myös em. koodin on täytynyt päätyä rikollisten tietoon.

Lautakunta katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin, että asiakas on itse syöttänyt koodin em. valesivuille tai antanut puhelimessaan hyväksyntänsä tekstiviestitse tulleen koodin syöttämiselle valesivuilla. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen.

Nyt käsillä olevat oikeudettomat maksutapahtumat on tehty kyseisellä pankin mobiilisovelluksella rikollisten toimesta, vahvistamalla ne sovelluksella.

Asiakkaan menettelyn arviointi

Soveltuvissa pankkitunnusehdoissa kielletään tunnusten luovuttaminen sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella sekä kielletään kirjautuminen pankin digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.

Tässä tapauksessa asiakas on kertonut siirtyneensä Facebookissa julkaistusta mainoksesta verkkosivulle, joka hänen käsityksensä mukaan oli pankin virallinen sivu. Mainoksessa on luvattu 1 500 euron takaisinmaksuton laina eläkeläisille. Asiakas on syöttänyt verkkopankkitunnuksensa sivulle, koska hän uskoi asioivansa pankkinsa kanssa.

Asiakas on vedonnut siihen, ettei hän ole syöttänyt pankilta saamaansa vahvistuskoodia mihinkään. Hänen mukaansa, koska hän käyttää pankkipalveluita ainoastaan puhelimella, hän ei ole pystynyt samanaikaisesti lukemaan tekstiviestiä ja syöttämään koodia, vaan hän näki ainoastaan itse koodin – ei viestin sisältöä. Toissijaisesti asiakas on katsonut, ettei viestin sisällöllä olisi ollut merkitystä, koska siinä ei ollut yksiselitteistä kieltoa toimia, vaan ainoastaan yleisluonteinen varoitus mahdollisesta petoksesta.

Pankkilautakunta katsoo, että saatuaan tavanomaisesta pankkitunnuksilla tehtävästä tunnistautumis- tai kirjautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin, asiakkaan olisi viestien sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja jättää saamansa koodi syöttämättä verkkosivuille.

FINEn Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä esimerkiksi siten, ettei huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään.

Mikäli asiakas ei kuitenkaan ymmärrä, mihin esimerkiksi pankin tekstiviestitse toimittama koodi on tarkoitettu, olisi hänen Pankkilautakunnan näkemyksen mukaan huolellisesti toimiessaan lähtökohtaisesti keskeytettävä asiointinsa ja olla esimerkiksi yhteydessä pankkiinsa varmistuakseen menettelyn tarkoituksesta ja asianmukaisuudesta.

Lautakunta katsoo, että em. viestissä kerrotaan asianmukaisesti, mihin viestissä ollutta koodia käytetään ja mihin se ainoastaan tulee syöttää, ja viestissä kehotetaan ottamaan välittömästi yhteyttä pankin asiakaspalveluun, jos epäilee jonkun muun saaneen pääsyn pankin tunnistussovellukseen. Mikäli asiakas olisi tuossa tilanteessa ottanut viestissä olleen ohjeen mukaisesti yhteyttä pankkiinsa ja tiedustellut menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Yllä mainitun perusteella Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin sekä pankkitunnusehtojen mukaisia velvollisuuksiaan.

Asiakkaan syötettyä linkin kautta avautuneille valesivuille pankkitunnustietojensa ohella pankin tekstiviestitse lähettämän koodin mahdollisesti lukematta viestin sisältöä tai ainakin sen sisältöä menettelyssään huomioimatta on asiakkaan menettelyn kokonaisuutena katsottava poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavaan täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Pankin velvollisuus valvoa maksuliikennettä

Asiakas on tapauksessa lisäksi vedonnut siihen, että pankin olisi tullut valvoa asiakkaan maksuliikennettä sekä estää vastaavat huijaussivustot, jotka ovat tehty pankin nimissä.

Maksupalvelusääntelyn perusteella pankeilla on oltava käytössään maksutapahtumien valvontamekanismit, joiden avulla ne voivat havaita oikeudettomat ja petolliset maksutapahtumat. Pankkilautakunta on vakiintuneessa ratkaisukäytännössään (kuten FINE-71529-W1F8J0, ratkaistu 25.04.2025) todennut, että tällä velvollisuudella ei kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta, eikä pankki siten ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa yksinomaan sillä perusteella, ettei se ole estänyt ko. oikeudettomia maksuja.

Pankilta maksupalvelun tarjoajana edellytetään toimenpiteitä huijausten ennaltaehkäisemiseksi sekä pankin nimissä esiintyvien valesivustojen torjumiseksi. Yksittäistapauksissa vastuun arviointi perustuu kuitenkin maksupalvelusääntelyyn ja Pankkilautakunta katsoo tässä tapauksessa, ettei pankin velvollisuudella huijauksien estämiseen voida yksin katsoa olevan vaikutusta asiakkaalle aiheutuneen vahingon korvaamiseen.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Haapsaari

Jäsenet:
Atrila
Piilo
Punakivi
Tervonen