Haku

FINE-76585-C3D3S5

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-76585-C3D3S5 (2026)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 21.04.2026

Miten vastuu asiakkaan verkkopankissa asiakkaan tililtä oikeudettomasti tehdyistä ja uudella pankin tunnistussovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Pankkitunnusten oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on 14.2.2025 joutunut huijauksen uhriksi myydessään häätiaraa Facebook Marketplacen kautta. Ostajaksi tekeytynyt henkilö on ottanut asiakkaaseen yhteyttä Messenger-sovelluksen kautta ja ilmoittanut järjestävänsä häätiaran maksun sekä toimituksen Matkahuollon palvelun kautta. Asiakas on mennyt linkistä Matkahuollon palvelulta näyttävälle verkkosivustolle ja yrittänyt kirjautua tämän ratkaisusuosituksen toisena osapuolena olevan pankin (pankki A) pankkitunnustensa käyttäjätunnuksella ja tunnuslukulaitteensa avulla. Tämän kirjautumisyrityksen perusteella rikolliset ovat päässeet asiakkaan verkkopankkiin.

Rikolliset ovat ottaneet käyttöönsä asiakkaan pankki A:n pankkitunnuksiin liitetyn pankin tunnistussovelluksen klo 15:35. Käyttöönottoon on tarvittu asiakkaan käyttäjätunnus, asiakkaan toisen pankin (pankki B) tunnuksilla tehty tunnistautuminen ja pankki A:n asiakkaan puhelinnumeroon lähettämässä tekstiviestissä ollut 10-numeroinen aktivointikoodi. Käyttöönotetulla tunnistussovelluksella rikolliset ovat vahvistaneet asiakkaan reklamoiman 4.581 euron tilisiirron pankki A:ssa olevalta asiakkaan tililtä klo 15:43.

Asiakkaan tilitä on yritetty tämän jälkeen tehdä vielä kaksi muuta maksua, mutta pankin monitorointi on estänyt ne ja sulkenut asiakkaan pankkitunnukset. Tämän jälkeen pankista on soitettu asiakkaalle klo 16:05.

Asiakkaan valitus

Asiakas on valituksessaan kertonut, että häneltä on internetissä erehdyttävästi Matkahuollon verkkopalvelua muistuttavan maksulinkin ja linkin takana olevan huijaussivuston avulla petollisesti viety pankki A:n verkkopankkitunnukset 14.2.2025, ja tämän jälkeen luvattomasti siirretty asiakkaan pankki A:n pankkitililtä ulkomaille toisen henkilön tilille 4.581 euroa ja lisäksi pankki B:n tililtä 465 euroa. Pankki B on korvannut asiakkaalle sen pankin osalta aiheutuneen vahingon. Pankki A ei korvaa vahinkoa.

Asiakas ei ole toiminut törkeän huolimattomasti, ottaen erityisesti huomioon korkeimman oikeuden oikeuskäytännön (KKO 2018:71). Ostajakandidaatti oli luotettavan oloinen, hänen Facebook-profiilinsa näytti orgaaniselta ja aidolta, hän kirjoitti selkeää suomea, hänen jakamansa linkki näytti erehdyttävästi Matkahuollon linkiltä ja se oli helposti aitoon linkkiin sekoitettavissa. Myös petoksellinen verkkosivusto oli erehdyttävän aidon ja uskottavan näköinen.

Asiakas ei luovuttanut minkään pankin verkkopankkitunnuksia eikä salasanoja Messenger-keskustelussa eikä tekstiviestillä. Pankki A:n tunnistussovelluksen rikolliset saivat käyttöönsä tuntemattomaksi jääneellä tavalla. Asiakkaalla ei ole ollut tuohon aikaan käytössä pankki A:n tunnistussovellusta, vaan tunnuslukulaite, joka sittemmin suljettiin.

Asiakas ei saanut pankilta aktivointikoodin sisältäviä viestejä. Hän ei ole siten myöskään voinut lähettää sen sisältämiä tietoja kenellekään eikä syöttää tietoja mihinkään ohjelmaan tai millekään sivustolle. Jos viestit on asiakkaalle pankin väitteen mukaisesti lähetetty, ovat viestit asiakkaalle tuntemattomaksi jääneellä tavalla (esimerkiksi jokin eSlM:iä hyödyntävä rikoksentekomenetelmä tai tietotekninen urkinta) päätyneet verkkorikollisen tietoon.

Asiakas on lähettänyt tietopyynnön teleoperaattorilleen asian tarkemmaksi selvittämiseksi. Operaattorin mukaan heidän tiedoillaan ei pysty selvittämään, mitä tekstiviestejä asiakkaan liittymä on ottanut vastaan. Lisäksi poliisi on kieltäytynyt asiakkaan puhelimeen tehtävän laite-etsinnän suorittamisesta eikä poliisin mukaan sekään todistaisi, että asiakas olisi luovuttanut tiedon jollekulle eteenpäin.

Asiakas käytti pankki B:n tunnuksia tapahtumapäivänä vain tilisiirron tekemiseen ja varojen siirtymisen tarkistamiseen. Asiakas ei käyttänyt pankki B:n tunnuksia huijaussivustolla eikä ole luovuttanut niitä kenellekään. Asiakas ei ole myöskään hyväksynyt pankki B:n tunnistussovelluksessa mitään tapahtumia. Asiakas ei ole muutenkaan käyttänyt pankki B:n tunnuksia tunnistautumiseen esimerkiksi viranomaisessa tai vahvaa sähköistä tunnistautumista edellyttävissä verkkopalveluissa, vaan sitä varten asiakas on käyttänyt pankki A:n tunnuksia. Asiakas sai pankki B:stä jonkin tekstiviestin tai muun vastaavan, jossa on varoitettu yleisluontoisesti verkkohuijauksista, mutta kyse ei ollut tunnistuspyynnöstä. Asiakkaalla ei ole viestiä tallessa.

Asiakas katsoo, että pankki B ei olisi korvannut asiakkaan sille tekemän reklamaation mukaisesti, jos asiakas olisi toiminut törkeän huolimattomasti.

Asiakas katsoo, että hän ei ole toiminut törkeän huolimattomasti. Hän vaatii palveluntarjoajaa hyvittämään asiakkaan pankkitilille oikeudettoman tilisiirron arvon 50 euron ylittäviltä osin eli 4.531 euroa.

Pankki A:n vastine

Rikolliset ovat käynnistäneet onnistuneen asiakkaan tunnistussovelluksen aktivoinnin omalle laitteelleen syöttämällä asiakkaan pankkitunnusten käyttäjätunnuksen ja valitsemalla tunnistautumistavaksi asiakkaan pankki B:n tunnukset. Kun asiakkaan tunnistussovellus aktivoidaan uudessa laitteessa, tiedot aktivoinnista tallentuvat pankin lokitietoihin.

Uuden pankki A:n tunnistussovelluksen aktivoimiseen rikolliset ovat tarvinneet asiakkaan pankki A:n verkkopankin käyttäjätunnuksen, vastaavan pankkitunnuksen pankki B:stä, asiakkaan vahvistaman tunnistuspyynnön pankki B:n tunnuksilla sekä tekstiviestillä asiakkaalle lähetetyn 10-merkkisen aktivointikoodin. Tunnistussovelluksen aktivoinnissa vahvaa tunnistautumista toisen pankin tunnuksilla pidetään yhtenä "turvallisena tekijänä / kanavana". Pankki ei näe mitä tunnistusvälinettä asiakas on käyttänyt (Pankki B:n sovellus vai esim. tunnuslukukortti). Kaikki välineet ovat kuitenkin luottamusverkoston sääntöjen mukaisia ja Traficomin hyväksymiä. Tunnistautumisen lisäksi aktivointi vaatii em. aktivointikoodin, joka lähetetään asiakkaan varmennettuun puhelinnumeroon

Rikolliset ovat näillä tiedoilla onnistuneet aktivoimaan uuden Pankki A:n tunnistussovelluksen omaan laitteeseensa. Aktivointiin tarvittava 10-merkkinen aktivointikoodi on lähetetty asiakkaan puhelinnumeroon 14.2.2025 klo 15:34. Puhelinnumero on asiakkaan vahvistama puhelinnumero pankki A:n asiakastietojärjestelmässä sekä asiakkaan reklamaatiolomakkeella ilmoittama.

Asiakkaan on siis täytynyt ensin vuotaa pankki A:n käyttäjätunnus, koska sähköpostiin ja tekstiviestiin pohjautuvaa aktivointiprosessia klo 15:13 ei muuten olisi ollut mahdollista aloittaa. Tämän jälkeen hän on hyväksynyt kolme sähköistä tunnistautumista pankki B:n tunnistusvälineellä ja lopuksi luovuttanut jonkun (tai kaikki) näihin aktivointeihin liittyvistä aktivointikoodeista eteenpäin.

Sovelluksen aktivoimisen jälkeen rikolliset ovat voineet muodostaa ja hyväksyä riidanalaisen maksun.

Pankki kiistää asiakkaan korvausvaatimuksen ja katsoo, ettei vastuu tapahtumista kuuluu lain, pankin ehtojen ja vastaavissa tapauksissa noudatetun ratkaisukäytännön perusteella pankin vaan asiakkaan itsensä vastuulle. Asiakas on lain ja ehtojen vastaisesti itse luovuttanut tunnistautumistietonsa ja pankki A:n tunnistussovelluksen aktivointikoodin huijareille.

Jos asiakas olisi viimeistään lukenut pankin aktivointikoodin sisältäneen viestin huolellisesti, olisi hän todennäköisesti jättänyt koodin antamatta sivulliselle ja välttynyt aiheutuneelta vahingolta. Pankki ei katso olevansa vastuussa asiakkaan menettämistä varoista, koska asiakkaan toiminta on tapauksessa ollut kokonaisuutena arvostellen maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

  • Pankkitunnuksilla käytettävien palvelujen yleiset sopimusehdot
  • Asiakkaan ottamia kuvankaappauksia Messenger-sovelluksessa ostajaksi tekeytyneen henkilön kanssa. Keskustelussa ”ostaja” on lähettänyt asiakkaalle Matkahuollon palveluun johtavalta vaikuttavan linkin, jonne hän on asiakkaan ohjannut. Klo 15:28 ”ostaja” on tiedustellut, onko kaikki hyvin. Asiakas on vastannut, että pankin sivuilla on jotain vikaa, kun ”ei tunnu olevan onnistuvan” ja että hän yrittää saada [sivuston pyytämät toimet] onnistumaan. Myöhemmin asiakas kertoo arvelevansa onnistuneensa.
  • Tiedot asiakkaan reklamoimasta maksutapahtumasta.
  • Pankki A:n toimittamat lokitiedot asiakkaan pankki B:n tunnuksilla tehdyistä tunnistautumisista pankki A:n tunnistussovelluksessa 14.2.2025 klo 15:24, 15:27 ja 15:34. Tunnistautumisen yhteydessä on välitetty asiakkaan henkilötunnus.
  • Kuvankaappaus asiakkaan puhelimen tiedoista.
  • Teleoperaattorin ilmoitus asiakkaalle, että puheluerittelystä ei selviä liittymään lähetettyjä tekstiviestejä.
  • Poliisin ilmoitus tutkinnan päätöksestä 20.3.2025.
  • Poliisin ilmoitus 11.7.2025 siitä, että poliisi ei suorita laite-etsintää eikä televalvontaa.
  • Uutisia vuonna 2022 tapahtuneesta petoksesta, jossa yhden pankin tietoturva-aukkoa käytettiin hyväksi.

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankki A:n välisen vastuunjaon ratkaisemiseksi asiassa on arvioitava, onko pankki A:n maksuvälineen oikeudeton käyttö johtunut siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on ollut.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain (290/2010, muutettu lailla 898/2017) 53 §:n (Maksuvälineestä huolehtiminen) 1 momentin mukaan:

”Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.”

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) mukaan:

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.”

Pankin pankkitunnuksilla käytettävien palvelujen yleisten sopimusehtojen (pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta pankkitunnusten oikeudettomasta käytöstä maksuvälineenä pankin verkkopalvelussa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Tunnistautumistietojen säilyttäminen ja vastuu niiden käyttämisestä -kohdan mukaan:

”Kuluttaja-asiakkaan tunnistautumistiedot ovat henkilökohtaiset, eikä niitä saa osittainkaan luovuttaa sivullisen tietoon tai haltuun. Kuluttaja-asiakas ei saa antaa valtuutusta tunnistautumistietojen käyttämiseen.
[…]
Asiakas sitoutuu säilyttämään tunnistautumistiedot huolellisesti ja varmistamaan säännöllisesti, että tunnistautumistiedot ovat tallessa. Asiakkaan tulee huolehtia, etteivät tunnistautumistiedot joudu osittainkaan sivullisen tietoon tai haltuun. Asiakas sitoutuu säilyttämään käyttäjätunnuksesta, tunnistautumislaitteesta, [pankin tunnistussovelluksesta], salasanasta, PIN-koodista tai muista pankin hyväksymistä tunnistautumistavoista koostuvat tunnistautumistiedot erillään toisistaan. Tunnistautumistietoja ei saa kopioida, tallentaa tai toisintaa muutoin kuin pankin järjestelmään tai pankin hyväksymällä tavalla.”

Asian arviointi

Tapahtumienkulku

Asiassa on riidatonta, että asiakas on ollut myymässä Facebook Marketplace -sivustolla tuotettaan ja saaneensa 14.2.2025 ostajaksi tekeytyneeltä rikolliselta viestin, jossa tämä ehdotti Matkahuollon palvelua tuotteen maksamiseen ja lähettämiseen. Valesivustolle johtaneen linkin sisältäneen viestin on asiakkaan selvityksen mukaan lähettänyt hänelle entuudestaan tuntematon henkilö.

Asiakas on mennyt linkistä kertomansa mukaan Matkahuollon palvelulta näyttävälle verkkosivustolle ja yrittänyt kirjautua siellä pankki A:n pankkitunnustensa käyttäjätunnuksella ja tunnuslukulaitteensa avulla. Tämän kirjautumisyrityksen perusteella rikolliset ovat päässeet asiakkaan verkkopankkiin.

Pankin lokitietojen mukaan tämän jälkeen klo 15:13 asiakkaan pankki A:n verkkopankkitunnuksilla on aloitettu uuden pankki A:n tunnistussovelluksen aktivointi sähköpostin ja tekstiviestivahvistuksen avulla. Tähän liittyvä aktivointikoodin sisältävä tekstiviesti on toimitettu pankin lokitietojen mukaan kuuden tunnin viiveellä klo 21:13.

Pankin lokitietojen mukaan klo 15:24 on asiakkaan toisen pankin eli pankki B:n verkkopankkitunnuksilla aloitettu ensimmäisen kerran vahvaan sähköiseen tunnistamiseen ja tekstiviestiin pohjautuva pankki A:n tunnistussovelluksen aktivointiprosessi. Tässä tapauksessa tekstiviesti on pankin lokitietojen mukaan lähetetty heti onnistuneen pankki B:n tunnistusvälineellä tehdyn tunnistustapahtuman jälkeen.

Pankki A:n lokitietojen mukaan asiakkaan pankki B:n tunnuksilla on tunnistauduttu kolme kertaa: 15:24, 15:27 ja 15:34. Jokaisesta tunnistautumisesta on pankki A:n mukaan lähetetty myös aktivointikoodin sisältävä tekstiviesti asiakkaan numeroon. Pankin mukaan asiakkaan numeroon on lähetetty yhteensä neljä aktivointikoodiviestiä, joita kolme välittömästi onnistuneen pankki B:n tunnistautumisen jälkeen ja yksi kuuden tunnin viiveellä pankki A:n tunnistautumisen jälkeen. Viesteissä on lukenut seuraavaa:

”Olet aktivoimassa uutta [pankki A:n tunnistusovellusta]. Aktivointikoodisi on tämän viestin lopussa. Syötä koodi ainoastaan sille mobiililaitteellesi, jolle olet itse aktivoimassa [pankki A:n tunnistusovellusta]. Ystävällisin terveisin, [pankki A]

Du finner koden för att aktivera [pankki A:n tunnistusovellus] i slutet av meddelandet. Använd koden endast för att aktivera [pankki A:n tunnistusovellus] på en betrodd mobil enhet. Med vänliga hälsningar, [pankki A]

Your activation code for the [pankki A:n tunnistusovellus] is at the end of this message. Use the activation code only to activate the [pankki A:n tunnistusovellus] on your trusted mobile phone or tablet. Best regards, [pankki A]

[Sessiokohtainen 10-numeroinen aktivointikoodi]"

Rikolliset ovat ottaneet käyttöönsä asiakkaan pankki A:n pankkitunnuksiin liitetyn pankin tunnistussovelluksen klo 15:35. Pankki A:n mukaan käyttöönottoon on tarvittu asiakkaan käyttäjätunnus, asiakkaan pankki B:n tunnuksilla tehty tunnistautuminen ja asiakkaan puhelinnumeroon lähetetyssä tekstiviestissä ollut 10-numeroinen aktivointikoodi. Käyttöönotetulla tunnistussovelluksella rikolliset ovat vahvistaneet asiakkaan reklamoiman 4.581 euron tilisiirron pankki A:ssa olevalta asiakkaan tililtä klo 15:43.

Asiakkaan tilitä on yritetty tämän jälkeen tehdä vielä kaksi muuta maksua, mutta pankin monitorointi on estänyt ne ja sulkenut asiakkaan pankkitunnukset. Tämän jälkeen pankki A:sta on soitettu asiakkaalle klo 16:05.

Pankkilautakunta katsoo tapahtumien kulkeneen seuraavasti: Päästyään ensin asiakkaan pankki A:n verkkopankkiin asiakkaan käyttäjätunnuksella ja tunnuslukulaitteen avulla tehdyn kirjautumisen johdosta rikolliset ovat aloittaneet pankki A:n tunnistussovelluksen käyttöönoton asiakkaan nimissä. Tätä varten on ensin aloitettu klo 15:13 uuden pankki A:n tunnistussovelluksen aktivointi sähköpostin ja tekstiviestivahvistuksen avulla.

Koska tähän liittyen aktivointiin tarvittavan koodin lähettämistä on viivästetty kuudella tunnilla ja rikollisilla ei välttämättä ole ollut pääsyä asiakkaan sähköpostiin, rikolliset ovat aloittaneet klo 15:24 vahvaan sähköiseen tunnistamiseen ja tekstiviestiin pohjautuvan pankki A:n tunnistussovelluksen aktivointiprosessin. Tähän aktivointiin on tarvittu asiakkaan pankki A:n verkkopankkitunnus, asiakkaan pankki B:n tunnuksilla tehty vahva sähköinen tunnistautuminen ja asiakkaan puhelinnumeroon em. tekstiviestissä oleva 10-numeroinen aktivointikoodi.

Asiakas on kiistänyt käyttäneensä pankki B:n tunnuksia kirjautumiseen pankki A:n palveluissa. Asiakas on lisäksi kiistänyt saaneensa pankilta aktivointikoodin sisältävää tekstiviestiä ja siten myöskään syöttäneensä sitä mihinkään tai kertoneensa sitä kenellekään.

Pankkilautakunnalla ei ole syytä epäillä pankin järjestelmän toimintaan liittyvän selvityksen paikkansa pitävyyttä. Pankki on toimittanut lokitietoja pankki B:n tunnuksilla tehdyistä kirjauksista ja aktivointikoodin sisältävien tekstiviestien sisällöstä ja niiden lähettämisestä asiakkaan puhelinnumeroon. Lautakunta pitää selvitettynä, että rikollisilla on täytynyt olla tiedossaan asiakkaan pankki A:n käyttäjätunnus, asiakkaan on täytynyt pankki B:n tunnuksillaan vahvistaa em. kirjautumiset ja rikollisilla on täytynyt olla tiedossaan pankin asiakkaan numeroon lähettämä 10-numeroinen koodi, että he ovat voineet ottaa käyttöön asiakkaan pankkitunnuksiin liitetyn pankki A:n tunnistussovelluksen.

Riidatonta on, että rikolliset ovat saaneet asiakkaan pankki A:n käyttäjätunnuksen huijaussivustolla tapahtuneen kirjautumisyrityksen johdosta. Pankkilautakunta katsoo, että asiassa ei ole esitetty muuta selvitystä eikä lautakunnan tiedossa ole muuta keinoa kuin se, että asiakkaan on täytynyt itse hyväksyä pankki B:n tunnuksilla kirjautumiset ja syöttää aktivointikoodi huijaussivustolla.

Käyttöön otetulla tunnistussovelluksella rikolliset ovat voineet kirjautua asiakkaan pankki A:n verkkopankkiin tehdäkseen asiakkaan riitauttaman maksun ja hyväksyä sen.

Asian arviointi

Pankkitunnusehtojen mukaan asiakas sitoutuu säilyttämään tunnistautumistiedot huolellisesti ja asiakkaan tulee huolehtia, etteivät tunnistautumistiedot joudu osittainkaan sivullisen tietoon tai haltuun.

Asiakas on käyttänyt pankkitunnuksiaan ostajaksi tekeytyneen henkilön lähettämästä linkistä avautuneilla sivuilla, jotka ovat asiakkaan mukaan näyttäneet Matkahuollon palvelulta. Pankkilautakunta pitää uskottavana, että asiakkaalla ei sivujen ulkoasun perusteella ole ollut aihetta epäillä sivujen aitoutta ja niillä vaadittua pankkitunnuksilla kirjautumista.

Pankkilautakunta katsoo, että asiakas on laiminlyönyt huolimattomuudestaan pankkitunnusten ehtojen mukaisia velvollisuuksiaan, kun hän on käyttänyt pankkitunnuksiaan tuntemattoman henkilön lähettämästä linkistä avautuneilla sivuilla. Pankkilautakunta katsoo, että asiakkaan on katsottava laiminlyöneen ehtojen mukaisia velvollisuuksiaan vain vähäisellä huolimattomuudella ottaen huomioon, että pankin ehdoissakaan ei kielletä tunnusten käyttämistä sähköisesti lähetetyn linkin kautta avautuneilla sivuilla.

Pankkilautakunta on edellä katsonut, että asiakkaan on kiistämisestään huolimatta täytynyt hyväksyä kolme kirjautumista pankki B:n tunnuksillaan. Asiassa ei ole esitetty, miten kirjautumiset on tehty ja mitä asiakas on kirjautumisen yhteydessä nähnyt. Lautakunta katsoo, että asiakkaan olisi tullut epäillä sivuston toimintaa, kun häneltä on pyydetty pankki B:n tunnuksilla tunnistautumista, kun hän oli tunnistautumassa pankki A:n tunnuksilla.

Pankkilautakunta katsoo, että saatuaan tavanomaisesta pankkitunnuksilla tehtävästä tunnistautumis- tai kirjautumistilanteesta poikkeavalla tavalla pankin tunnistussovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuille. Lautakunta katsoo, että em. tekstiviestissä kerrotaan asianmukaisesti, mihin viestissä olevaa aktivointikoodia käytetään ja mihin se tulee syöttää. Lisäksi viestissä oleva koodi oli päivittäisestä pankkiasioinnista poiketen 10-numeroinen. Mikäli asiakas olisi tuossa tilanteessa ottanut yhteyttä pankkiinsa ja tiedustellut menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Tässä tapauksessa asiakkaan ensin syötettyä kahden eri pankin pankkitunnustietojaan hänelle uudenlaisessa asiointitilanteessa ja hänelle Messenger-sovelluksessa lähetetyn linkin kautta avautuneilla sivuilla asiakkaan olisi tullut asiointinsa seuraavissa vaiheissa kiinnittää erityistä huomiota siihen, mitä pankki hänelle viestii ja mihin viestissä ollutta koodia on tarkoitus käyttää.

Asiakkaan syötettyä tekstiviestitse saamansa pankin tunnistussovelluksen aktivointikoodin linkin kautta avautuneilla sivuilla tunnistautumistarkoituksessa ja siten vastoin viestissä olleita ohjeita Pankkilautakunta katsoo asiakkaan menettelyn osoittavan hänen vakavaa varomattomuuttaan.

Tässä tapauksessa saadun selvityksen perusteella ja huomioiden erityisesti kahden eri pankin pankkitunnusten käyttämisen tuntemattoman henkilön lähettämästä linkistä avautuneilla sivuilla ja pankin lähettämän pankin tunnistussovelluksen aktivointikoodin sisältäneen tekstiviestin Pankkilautakunta katsoo asiakkaan menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena arvioiden osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan vastaavan näin ollen täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Lopputulos

Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                     
Sihteeri Heino

Jäsenet

Atrila
Piilo
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä