Tapahtumatiedot
Asiakas on joutunut huijatuksi, kun hän on ollut myymässä tavaraa verkossa. Tämän seurauksena asiakkaan verkkopankkiin on kirjauduttu 26.3.2025 klo 18.45 ja verkkopankissa asiakkaan säästötilinä käyttämältä käyttötililtä on tehty klo 18.48 3.000,00 euron oikeudeton siirto asiakkaan käyttötilille. Tämän jälkeen klo 18.55 on asiakkaan käyttötiliin liitetyllä kortilla tehty verkossa 2.050,00 euron korttimaksu. Em. korttimaksun lisäksi maksuja ulkopuolisille ei ole tehty, mutta asiakkaan säästötililtä on tehty vielä klo 18.57 2.050,00 euron oikeudeton siirto asiakkaan käyttötilille.
Pankin selvityksen mukaan asiakkaan verkkopankkiin kirjautuminen ja em. korttimaksu on vahvistettu asiakkaan käytössä olleella pankin tunnistussovelluksella. Asiakkaan tilien välillä tehtyjen siirtojen yhteydessä pankki ei ole edellyttänyt maksajan vahvaa tunnistamista.
Asiakkaan valitus
Asiakas vaatii pankkia korvaamaan 2.050 euroa korkoineen.
Asiakas teki epähuomiossa virheen ja klikkasi Facebookin kautta tullutta Marketplacen ilmoitusta, jossa ilmeisesti FB:n kaapatun tilin nainen pyysi toimittamaan matkahuollon kautta asiakkaan myymää tuotetta. Asiakas huomasi epähuomiossa tehneensä klikkauksen "matkahuollon sivustolle" ja linkin vääryyden heti ja yritti välittömästi pysäyttää tapahtuman kulun sulkemalla puhelimensa huijaussivuston ja kirjautumalla pankin ohjeistuksen mukaisesti nettipankkiinsa sulkeakseen korttinsa sekä siirtääkseen kaikki käyttötilillä olleet varansa säästötililleen, jolloin korttia ei pystyttäisi käyttämään.
Tämä oli kuitenkin suuri virhe, koska asiakkaan kirjautuessa verkkopankkiin huijarit saivat klikatussa linkissä olleen haittaohjelman kautta tietoonsa asiakkaan verkkopankkitunnukset sekä käyttöönsä asiakkaan pankin tunnistussovelluksen, jonka kuuluisi toimia vain ja ainoastaan asiakkaan omassa puhelimessa. Asiakas ei siis ole syöttänyt matkahuollon huijaussivustolle pankkitunnuksiaan, kuten pankki epäeettisesti väittää, vaan klikkasi epähuomiossa yllä mainittua huijaussivustoa ja syötti omat korttinsa tiedot sivustolle.
Tekijät siirsivät asiakkaan siirtämistä rahoista osan takaisin käyttötilille, ensin 3.000 ja lopuksi 2.050 euroa. Petoksen tekijät olivat myös muuttaneet nettipankissa maarajausta koko maailmaksi, kun se oli alun perin vain Suomi, ja vaihtaneet asiakkaan päivittäistä käyttörajaa ilman että pankki on reagoinut millään lailla. Tämän lisäksi on tapahtunut samanaikainen kirjautuminen kahdesta eri IP-osoitteesta ja kahdesta eri maasta, mihin pankin turvajärjestelmien olisi pitänyt reagoida.
Asiakas ehti itse siirtää tuon 3.000 euroa takaisin säästötililleen, ennen kuin verkkopankkitunnukset suljettiin, 2.050 euron siirrosta asiakas ei ollut enää tietoinen. Lisäksi asiakas soitti välittömästi pankin asiakaspalveluun sulkeakseen verkkopankkitunnuksensa ja jotta petos saataisiin pysäytettyä. Jos petoksen tekijät eivät olisi saaneet siirrettyä rahoja takaisin käyttötilille, petoksessa menetetyt varat 2.050 euroa olisivat edelleen asiakkaan säästötilillä, eikä petosta olisi ikinä tapahtunut.
Pankki ei ota mitään kantaa asiakkaan viittaamaan Pankkilautakunnan ratkaisuun FINE-071181. Pankin argumentti siitä, että tilien väliset siirrot eivät ole oleellisia, on asiakkaan mielestä törkeä. Ilman omien tilien välisiä siirtoja tätä petosta ei olisi ikinä tapahtunut. Säästötilille ei ole linkitetty mitään korttia, joten korttitapahtuma säästötililtä ei olisi ollut mahdollinen.
Tämä kaikki tapahtui siis 26.3. (katevaraus), kuitenkin itse veloitus on siirtynyt tilitietojen mukaan tililtä vasta seuraava päivän eli 27.3. Pankin asiakaspalvelija kertoi heidän tekevänsä kaikkensa, jotta maksu pysäytettäisiin, mutta eivätpä sitten kuitenkaan tehneet asian eteen yhtään mitään. Yksi virkailija jopa kertoi, että petoksen tapahduttua vasta klo 14.00 jälkeen (tapahtui illalla klo 18-19), rahat siirtyisivät vasta seuraavana päivänä petoksen tekijöiden tilille, jolloin pankilla olisi mahdollisuus pysäyttää tapahtuma.
Asiakas itse ei tietenkään ole tapahtumaa hyväksynyt omalla pankin tunnistussovelluksella, vaikka pankki niin vastuuttomasti väittää. Asiakas ei ole itse vahvistanut mitään muuta kuin oman kirjautumisensa verkkopankkisivustolle sulkeakseen heidän nettisivuston ohjeistuksen mukaisesti oman korttinsa sekä siirtääkseen omat varansa "turvaan" säästötililleen.
Pankin ns. turvajärjestelmä on täysin olematon. Järjestelmä ei reagoinut rahasiirtoihin käyttötilin sekä säästötilin välillä lainkaan (Suomesta ja Irlannista käsin tehdyt siirrot). Järjestelmät eivät reagoineet, vaikka verkkopankkiin kirjauduttiin samanaikaisesti kahdesta eri osoitteesta, asiakas Suomesta käsin ja petoksen tekijät Irlannista. Pankki vastaa samanaikaiseen kirjautumiseen ja IP-osoitteeseen surkeasti. Eri IP-osoitteista voi toki olla kirjautuneena, mutta muutaman minuutin sisällä kahdesta eri maasta samanaikaisen kirjautumisen, ilman että pankin turvajärjestelmä reagoi millään lailla, ei pitäisi olla mahdollista. Pankin tunnistussovellus on selkeästi erittäin huono, koska sovelluksen tunnuksella pystyy kirjautumaan kahdesta eri paikasta/maasta käsin samanaikaisesti. Pankki ei myöskään lähettänyt yhtäkään varmennusviestiä korttitapahtumasta asiakkaan puhelimeen, mikä tuntuu myös uskomattomalta. Asiakas ei ole saanut yhtäkään viestiä pankin tunnistussovellukseensa eikä tekstiviestiä puhelimeensa, jossa asiakkaalta olisi pyydetty hyväksyntää kyseiseen korttiostoon. Tapahtuman kulku on ollut täysin huijareiden hallinnassa, eivätkä pankin turvajärjestelmät ole reagoineet siihen mitenkään. Asiakkaan luottamus pankin toimintaan on tapahtuneen jälkeen nolla.
Pankin vastine
Asiakas on vaatimuksenaan esittänyt, että pankki hyvittää hänelle 2.050 euron korttimaksun. Valitettavasti pankki ei jaa asiakkaan näkemystä vastuunjaosta.
Tapahtumainkulku
Asiakas on joutunut Facebook MarketPlace -huijauksen uhriksi. Hän on saanut valeostajalta viestin, jossa mukana oli linkki väärennetylle Matkahuollon sivustolle, jossa uhria pyydetään syöttämään korttitiedot ja/tai pankkitunnukset. Asiakas on syöttänyt pankkitunnuksensa huijaussivustolle ja näitä tietoja huijarit ovat käyttäneet asiakkaan verkkopankkiin kirjautumiseen. Asiakas on kuitenkin itse vahvistanut sisäänkirjautumisen käytössään olleesta pankin tunnistussovelluksesta.
Asiakkaan on täytynyt luovuttaa huijaussivustolle myös kortin numero ja CVC-koodi, koska ne eivät näy verkkopankissa, vaan ainoastaan fyysisessä kortissa.
Verkkopankki-istunnon aikana 26.3.2025 klo 18.47 huijari on muuttanut asiakkaan MasterCard Gold -yhdistelmäkortin vuorokausikohtaisia rajoja ja käyttöaluetta. Näillä muutoksilla ei ole kuitenkaan ollut merkitystä sille, että 2.050,00 euron korttimaksu on onnistunut.
Kortilla tehtävien käteisnostojen turvarajaa on muutettu 500,00 eurosta 5000,00 euroon. Myös kortin käyttöalue muutettiin kattamaan koko maailma, kun se aiemmin kattoi pelkästään Suomen. Kumpikaan muutoksista ei vaikuttanut verkko-ostoksen tekoon kortilta, koska internet-käyttö oli kortilla mahdollista jo entuudestaan eli siihen liittyvää asetusta ei muutettu tässä yhteydessä. Edellä mainitut korttiasetusten muutokset on tehty ilman vahvaa tunnistamista.
Huijaukset aikaiset tilisiirrot ja maksut:
Seuraavassa taulukossa on esitetty tapaukseen liittyvät asiakkaan tilien väliset tilisiirrot ja korttimaksu. Huijarin tekemät tapahtumat ovat tummennettuja, kun taas taulukon ensimmäinen ja viimeinen tapahtuma ovat pankin käsityksen mukaan asiakkaan itsensä tekemiä. Asiakkaan itse tekemät tilisiirrot on tehty asiakkaan mobiilipankissa samalta laitteelta kuin mitä asiakas on käyttänyt ennen huijaustapahtumaa (iPhone 13).
| Tililtä/Kortilta | Tilille | Summa | Aikaleima |
| FI -94 | FI -20 | 1.173,00 € | klo 18:44 |
| FI -20 | FI -94 | 3.000,00 € | klo 18:48 |
| Kortti -06 liitetty tiliin -94 neteller.com | 2.050,00 € | klo 18:55 | |
| FI -20 | FI -94 | 2.050,00 € | klo 18:57 |
| FI -94 | FI -20 | 3.000,00 € | klo 19:15 |
Tilin FI -94 saldo ennen 3 000,00 euron siirtoa klo 18:48 oli 152,61 euroa.
Pankin järjestelmätietojen mukaan tapaukseen liittyvät kirjautumiset mobiilipankkiin ja verkkopankkiin on tehty kotimaisista IP-osoitteista. Samalla käyttäjällä voi olla saman aikaisesti istunnot mobiili- ja verkkopankissa eri IP-osoitteista ja eri laitteilta. Kaikki kirjautumiset on erikseen vahvistettava, kuten tässä tapauksessa on tapahtunut. IP-osoitteesta ei aina voi päätellä, mistä sijainnista laitetta käytetään.
Asiakkaan mobiilipankki-istunto, jossa on tehty 1.173,00 euron tilisiirto, on alkanut 26.3.2025 klo 18:43, eli tällä aikaleimalla on tapahtunut onnistunut sisäänkirjautuminen, joka on vahvistettu pankin tunnistussovelluksesta. Toinen eri IP-osoitteesta ja laitteelta tehty sisäänkirjautuminen verkkopankkiin on vahvistettu asiakkaan pankin tunnistussovelluksesta klo 18:45.
Pankin tunnistussovellukseen lähetetyt vahvistusviestit:
26.3.2025 klo 18:45:20.
Haluan kirjautua palveluun [pankin verkkopalvelu]
Kirjautumistunniste: KWXG
Varmista ennen vahvistamista että sama kirjautumistunniste näkyy tunnistautumisnäkymässä.
Varo huijauksia!
Älä kirjaudu pankkitunnuksillasi sivustoille viestillä saamiesi linkkien kautta tai jonkun muun pyynnöstä. Jos epäilet huijausta, älä vahvista kirjautumista. Ota yhteyttä asiakaspalveluumme, niin autamme sinua.
Sisäänkirjautuminen vahvistettu 26.3.2025 klo 18:45:23.
26.3.2025 klo 18:55:45
Nets pyytää vahvistusta
Haluatko suorittaa Mastercard korttimaksun?
Saaja: Neteller *Neteller.com
Summa: 2 050,00 EUR
Kortti: **** **** **** 9906
Aika: 263.2025
Korttimaksu vahvistettiin 263.2025 klo 18:55:48.
Huijareiden sisäänkirjautuminen verkkopankkiin ja korttimaksu vahvistettiin asiakkaan käytössä olleesta pankin tunnistussovelluksesta, joka oli aktivoitu käyttöön 20.1.2023 laitteeseen iPhone 13.
Sovellettava lainsäädäntö ja sopimusehdot
Pankki viittaa maksupalvelulain 38 ja 62 §:in sekä pankin pankkitunnuksilla käytettävien palvelujen yleisiin sopimusehtoihin.
Sopimusehtojen mukaan tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille verkkopankkipalvelun edellyttämällä tavalla.
Vastuu asiakkaan riitauttamasta maksusta ja muista tapaukseen liittyvistä maksutapahtumista
Tapauksessa asiakkaan varojen päätyminen sivulliselle johtuu tietojenkalastelusta. Maksu asiakkaan kortilla on kuitenkin tehty asiakkaan suostumuksella käyttäen maksupalvelulaissa tarkoitettua vahvaa tunnistamista. Maksu jää siten asiakkaan vastuulle, sillä se on vahvistettu pankin tunnistussovelluksella, jossa olennaiset maksutiedot on näytetty asiakkaalle. Kun asiakas antaa vahvistuspyynnön perusteella pankille suostumuksensa maksun veloittamiseen, maksu ei ole oikeudeton maksupalvelulain 38 §:n mukaan, vaikka jälkikäteen osoittautuisikin, että maksu liittyy tietojenkalasteluun ja verkkorikollisuuteen.
Mitä tulee omien tilien välisiin siirtoihin, niissä pankki ei ole edellyttänyt asiakkaan erillistä vahvaa tunnistamista ja suostumusta maksutapahtumille.
Pankki kuitenkin katsoo, ettei omien tilien välisellä siirrolla ole syy-yhteyttä asiakkaan kärsimään vahinkoon. Vahinko on aiheutunut asiakkaan suostumuksella tehdystä maksutapahtumasta, jota ei ole pidettävä oikeudettomana.
Nyt kysymyksessä olevaan tapaukseen liittyvissä omien tilien välisissä siirroissa ei ole edellytetty vahvaa tunnistautumista komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artiklan perusteella. Maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista. Maksutapahtumat, jossa maksaja ja maksunsaaja ovat olleet sama luonnollinen henkilö, ovat olleet oikeudettomia, mutta maksutapahtumista ei ole seurannut varallisuusvahinkoa asiakkaalle varojen säilyessä edelleen kokonaisuudessaan asiakkaan vallinnassa. Vahinkoedellytys olisi täyttynyt, jos varat tässä yhteydessä olisivat päätyneet kolmannen osapuolen haltuun.
Nyt arvioitavassa tapauksessa omien tilien välisiä siirtoja on oikeudettomasti tehnyt huijari, mutta asiakas ei ole siirtojen johdosta menettänyt varoja. Omien tilien väliset siirrot ovat tapahtuneet nimenomaisesti vain asiakkaan omien tilien välillä. Tämä on peruste sille, että omien tilien väliset siirrot ilman maksajan vahvaa tunnistamista on ylipäätään voitu mahdollistaa sekä sääntelyllisesti että käytännössä.
Jos maksuvälineenä olisi käteinen, tilanne vertautuu siihen, että henkilö siirtää käteistä rahaa taskustaan toiseen taskuunsa. Varat pysyvät ko. henkilön hallinnassa varojen siirtämisestä huolimatta siihen saakka, kunnes hän antaa käteisvarat pois hallustaan ulkopuoliselle henkilölle.
Tapaukseen liittyviä maksutapahtumia tulee arvioida maksupalvelulain 62 §:n nojalla itsenäisinä tapahtumina. Vahingon syntymisen välttämätön edellytys on ollut se, että kertaalleen omien tilien välillä siirretyt varat siirretään pois asiakkaan hallussa olevalta tililtä asiakkaan itse pankin tunnistussovelluksellaan antaman suostumuksen perusteella. Tästä syystä pankki katsoo, että pankki ei ole miltään osin vastuussa maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta, koska pankki palveluntarjoajana on nimenomaisesti edellyttänyt vahvaa tunnistautumista sen maksutapahtuman osalta, joilla varat on siirretty asiakkaan tililtä sivulliselle huijarille.
Vahingon määrän pieneneminen tai kokonaan toteutumatta jääminen olisi edellyttänyt sitä, että huijari ei olisi lainkaan saanut haltuunsa asiakkaan henkilökohtaisia tunniste- ja korttitietoja ja että asiakas ei olisi itse vahvistanut huijarin kirjautumista asiakkaan verkkopankkiin tai ainakaan huijarin luomaa korttitapahtumaa. Vahingon välttämättömiä edellytyksiä, conditio sine qua non ja oikeudellisesti relevantteja tapahtumia ovat edellä mainitut toimet eli asiakkaasta itsestään riippuva ja hänen kontrolloitavissaan oleva toiminta.
Asiakas on itse mahdollistanut vahingon syntymiseen luovuttamalla tunnistautumistietonsa huijarille ja hyväksymällä tämän jälkeen vahvistuspyyntöjä pankin tunnistussovelluksessaan. Tapauksessa on epävarmaa, mikä merkitys vahvalla tunnistamisella olisi ollut omien tilien välisen siirron toteutumisen ja siten tapauksessa kokonaisuudessaan syntyneen vahingon kannalta. Huijaustilanteessa asiakas on ollut valmis hyväksymään hänelle osoitetut vahvistuspyynnöt, eli kirjautumisen verkkopankkiin ja korttitapahtuman. Vahvan tunnistautumisen käytön suorana seurauksena ei siten voida pitää omien tilien välisten siirtojen toteutumatta jäämistä eli asiakkaalle aiheutuneen vahingon rajautumista.
Yhteenvetona pankki toteaa, että korvausvelvollisuuden edellytyksenä on vastuuperuste, kyseiseen perusteeseen liittyvä vahinko ja vahingon syy-yhteys korvausvastuuseen johtavaan tekoon, toimintaan tai laiminlyöntiin. Tapauksessa pankin vastuuperuste on maksupalvelulain 62 §:n 3 momentin 4 kohdan mukainen palvelutarjoajan vastuu maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista. Kyseiseen perusteeseen liittyvä vahinkoedellytys puuttuu, koska asiakkaalle ei ole aiheutunut mitään varallisuusvahinkoa omien tilien välisten siirtojen toteuttamisella. Asiakkaan laiminlyönti luovuttaessaan henkilökohtaisia tunnistetieto-jaan huijareille ja maksujen hyväksyminen ovat välttämättömässä syy-yhteydessä aiheutuneeseen vahinkoon, ei omien tilien välinen siirto. Vahingon määrä on ollut riippuvainen siitä, minkä suuruisia maksutapahtumia asiakas on vahvistanut tehtäväksi tililtään ulkopuoliselle taholle.
Asiakkaan joutuminen petoksen uhriksi on erittäin valitettavaa. Pankki katsoo kuitenkin, että tapauksessa pankki ei ole korvausvelvollinen asiakkaalle aiheutuneesta vahingosta.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- pankkitunnuksilla käytettävien palvelujen yleiset ehdot 03.2025
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. korttitapahtumalle vai onko maksutapahtumaa pidettävä oikeudettomana. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on. Edelleen lautakunnan on arvioitava, vaikuttaako asiakkaan ja pankin välisen vastuunjakoon se, että pankki ei ole edellyttänyt vahvaa tunnistamista asiakkaan omien tilien välisen tilisiirron yhteydessä.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 8 §:n (Määritelmät.) mukaan
Tässä laissa tarkoitetaan:
[…]
24) vahvalla tunnistamisella maksupalvelun käyttäjän sähköistä tunnistamista, jossa suojataan tunnistamistiedon luottamuksellisuutta ja käytetään menettelyä, joka perustuu vähintään kahteen seuraavista kolmesta toisistaan riippumattomasta vaihtoehdosta:
a) johonkin, mitä vain maksupalvelun käyttäjä tietää;
b) johonkin, mitä vain maksupalvelun käyttäjällä on hallussaan;
c) maksupalvelun käyttäjän yksilöivään ominaisuuteen;
[…]
Maksupalvelulain 38 §:n (Maksajan suostumus maksutapahtuman toteuttamiseen) 1 momentin mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.
Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Lain 54 §:n 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Lain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Maksupalvelulain 85 c §:n (Tunnistaminen) 1 momentin mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1) käyttää maksutiliään tietoverkon välityksellä;
2) käynnistää sähköisen maksutapahtuman;
3) toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
Jos maksaja käynnistää sähköisen maksutapahtuman etäviestimellä, palveluntarjoajan on käytettävä vahvaa tunnistamista, johon yhdistetään maksutapahtuman määrä ja maksunsaaja maksupalveluista sisämarkkinoilla, direktiivien 2002/65, EY, 2009/110/EY ja 2013/36/EU ja asetuksen (EU) N:o 1093/2010 muuttamisesta sekä direktiivin 2007/64/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366, jäljempänä maksupalveludirektiivi, 97 artiklan 2 kohdassa tarkoitetulla tavalla.
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
Edellä 1 ja 2 momentissa tarkoitetun vahvan tunnistamisen sekä 3 momentissa tarkoitettujen turvatoimenpiteiden on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa.
Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.
Komission delegoidun asetuksen (EU) 2018/389 24 artiklan mukaan
Yhdistäminen maksupalvelunkäyttäjään
1. Maksupalveluntarjoajien on varmistettava, että henkilökohtaiset turvatunnukset, tunnistamislaitteet ja -ohjelmistot yhdistetään suojatulla tavalla ainoastaan maksupalvelunkäyttäjään.
2. Sovellettaessa 1 kohtaa maksupalveluntarjoajien on varmistettava, että kaikki seuraavat vaatimukset täyttyvät:
a) maksupalvelunkäyttäjän henkilöllisyyden yhdistäminen henkilökohtaisiin turvatunnuksiin, tunnistamislaitteisiin ja -ohjelmistoihin toteutetaan maksupalveluntarjoajan vastuulla suojatuissa ympäristöissä, jotka käsittävät ainakin maksupalveluntarjoajan toimitilat, sen tarjoaman internetympäristön tai muut vastaavat sen käyttämät suojatut verkkosivustot ja sen pankkiautomaattipalvelut, ottaen huomioon riskit, jotka liittyvät yhdistämisprosessin aikana käytettäviin laitteisiin ja peruskomponentteihin, jotka eivät ole maksupalveluntarjoajan vastuulla;
b) maksupalvelunkäyttäjän henkilöllisyyden yhdistäminen henkilökohtaisiin turvatunnuksiin ja tunnistamislaitteisiin ja -ohjelmistoihin etäkanavan välityksellä suoritetaan käyttämällä asiakkaan vahvaa tunnistamista.
Maksupalvelulain lisäksi tapauksessa tulevat sovellettaviksi pankin korttiehdot ja pankin pankkitunnuksilla käytettävien palvelujen yleiset ehdot (Pankkitunnusehdot).
Korttiehtojen Kortinhaltijan vastuu -kohdan mukaan
Kortinhaltija sitoutuu maksamaan ostoista, käteisnostoista tai toistuvaismaksuista tai muusta korttitapahtumasta syntyneen velan [pankille] tai muun korttiominaisuuden myöntäneelle yritykselle:
- hyväksymällä korttitapahtuman esim. vahvistamalla sen tunnusluvulla tai muulla [pankin] hyväksymällä tunnisteella.
- käyttämällä korttia internetissä
[…]
Korttiehtojen Kortin käyttäminen -kohdan mukaan
”[…]
Ennen korttitapahtuman hyväksymistä, kuten tunnusluvun näppäilemistä, muun [pankin] hyväksymän tunnisteen tai lähimaksuominaisuuden käyttämistä, kortinhaltijan on tarkistettava tapahtumaan merkityn valuutan, maksun määrän ja maksutavan oikeellisuus.
[…]
Korttiehtojen [Pankin] oikeudet -kohdan mukaan
[Pankilla] on oikeus vastata kortilla tehtyä käteisnosto ja/tai korttiostotapahtumaa koskevaan katetiedusteluun ja varata tapahtumalle kate korttiin liitetyltä tililtä
[Pankki] on oikeutettu veloittamaan korttiin liitetyltä tililtä käteisnostot ja maksut, jotka kortinhaltija on hyväksynyt esim. käyttämällä korttia yhdessä tunnusluvun kanssa tai muun [pankin] hyväksymän tunnisteen kanssa, käyttämällä korttia internetissä, […]. [Pankki] vastaa siitä, että veloitukset kirjataan korttiin liitetylle tilille.
[…]
Pankkitunnusehtojen Tunnistautuminen Verkkopankkipalveluun -kohdan mukaan
Verkkopankkipalvelujen käyttämiseksi asiakas tunnistautuu ilmoittamalla pankille Verkkopankkipalveluun kirjautuessaan tunnistautumistietonsa. Asiakkaan kirjauduttua Verkkopankkipalveluun asiakas ei saa antaa avattua palveluyhteyttä muun tahon käytettäväksi.
Tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille Verkkopankkipalvelun edellyttämällä tavalla.
Pankkitunnusehtojen Yleistä tunnistautumistietojen säilyttämisestä ja asiakkaan vastuusta -kohdan mukaan
Kuluttaja-asiakkaan tunnistautumistiedot ovat henkilökohtaiset, eikä niitä saa osittainkaan luovuttaa sivullisen tietoon tai haltuun. Kuluttaja- asiakas ei saa antaa valtuutusta tunnistautumistietojen käyttämiseen.
Yritys- tai yhteisöasiakkaan tunnistautumistiedot ovat asiakaskohtaiset, eikä niitä saa osittainkaan luovuttaa muille kuin niiden käyttöön oikeutetuille.
Asiakas sitoutuu säilyttämään tunnistautumistiedot huolellisesti ja varmistamaan säännöllisesti, että tunnistautumistiedot ovat tallessa. Asiakkaan tulee huolehtia, etteivät tunnistautumistiedot joudu osittainkaan sivullisen tietoon tai haltuun. Asiakas sitoutuu säilyttämään käyttäjätunnuksesta, tunnistautumislaitteesta, [pankin tunnistussovellus] -sovelluksesta, salasanasta, PIN-koodista tai muista pankin hyväksymistä tunnistautumistavoista koostuvat tunnistautumistiedot erillään toisistaan. Tunnistautumistietoja ei saa kopioida, tallentaa tai toisintaa muutoin kuin pankin järjestelmään tai pankin hyväksymällä tavalla.
Mikäli tunnistautumistiedot ovat kadonneet tai asiakkaalla on syytä epäillä, että ne ovat joutuneet tai saattaneet joutua osittainkin sivullisen tietoon tai haltuun, asiakas on velvollinen välittömästi ilmoittamaan tästä pankille palvelujen asiattoman käytön estämiseksi. Asiakkaan käyttäessä useita tunnistautumistietoja asiakas on velvollinen ilmoitusta tehdessään nimeämään ne tunnistautumistiedot, jotka ovat kadonneet taikka joutuneet tai saattaneet joutua osittainkin sivullisen tietoon tai haltuun. Mikäli asiakas ei pysty nimeämään kyseessä olevia tunnistautumistietoja, pankilla on oikeus sulkea tai keskeyttää kaikkien asiakkaan käytössä olevien tunnistautumistietojen käyttö asiakkaan vastatessa mahdollista kustannuksista ja vahingoista. Ilmoituksen voi tehdä henkilökohtaisesti Suomessa oleviin pankin konttoreihin niiden aukioloaikoina tai puhelimitse pankin asiakaspalveluun sen aukioloaikoina. Ilmoituksen voi tehdä asiakaspalvelun aukioloaikojen ulkopuolella pankin ilmoittamaan sulkupalveluun. Tieto pankin asiakaspalvelun aukioloajoista sekä sulkupalvelun yhteystiedot löytyvät pankin verkkosivuilta ([pankki].fi).
Asian arviointi
Pankin asiassa antamien selvitysten mukaan rikollisten kirjautuminen asiakkaan verkkopankkiin 26.3.2025 klo 18:45 sekä ko. korttimaksu klo 18:55 on vahvistettu asiakkaan omalla pankin tunnistussovelluksella, joka on otettu käyttöön 20.1.2023 laitteessa iPhone 13. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.
Pankkilautakunta katsoo selvitetyksi, että tultuaan verkossa rikollisten harhaanjohtamaksi asiakas on itse vahvistanut rikollisten kirjautumisen verkkopankkiinsa sekä ko. korttimaksun puhelimessaan olleella pankin tunnistussovelluksella. Tunnistussovelluksen korttimaksua koskevassa vahvistuspyynnössä on ennen vahvistuksen antamista näkynyt asianmukaisesti vahvistettavan korttimaksun tiedot mukaan lukien hyväksyttävän maksun euromäärä ja saaja sekä kysymys: ”Nets pyytää vahvistusta. Haluatko suorittaa Mastercard korttimaksun?”
Pankkilautakunta on ratkaisukäytännössään vakiintuneesti katsonut, että tapauksissa, joissa rikoksen uhri on huijattuna tullut itse hyväksyneeksi riidanalaiset maksut esimerkiksi omassa puhelimessaan olevalla pankin mobiilisovelluksella ja sovelluksessa on ennen vahvistuksen antamista näkynyt vahvistettavan maksun tiedot, pankki ei ole velvollinen hyvittämään asiassa aiheutunutta vahinkoa asiakkaalle. Näissä tapauksissa on katsottu, että vaikka asiakas on antanut maksujen vahvistukset rikollisten harhaan johtamana, on hän kuitenkin itse antanut maksuille maksupalvelulain 38 §:ssä ja sovellettavissa ehdoissa tarkoitetun suostumuksensa, eivätkä kyseessä olevat maksutapahtumat tällöin ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia. Tämän vuoksi käsillä ei ole myöskään ollut perusteita pankin vastuulle maksuista asiakkaalle aiheutuneesta vahingosta.
Pankkilautakunnalla ei ole syytä arvioida nyt käsiteltävänä olevaa tapausta eri tavalla. Vaikka asiakas on myös tässä tapauksessa antanut em. vahvistuksen korttimaksulle tultuaan rikollisten harhaan johtamaksi, tällä ei ole merkitystä asiakkaan ja pankin välisessä suhteessa. Pankkilautakunta katsoo vakiintuneen ratkaisukäytäntönsä mukaisesti, että asiakas on antanut maksutapahtumille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtuman toteuttamiseen ja korttiehtojen mukaisen suostumuksensa pankille maksutapahtuman veloittamiselle korttiinsa liitetyltä tileiltä. Näin ollen lautakunta katsoo, ettei kyseessä oleva maksutapahtuma ole maksupalvelulaissa tarkoitetulla tavalla oikeudeton ja ettei käsillä siten lähtökohtaisesti ole perusteita pankin vastuulle korttimaksusta asiakkaalle aiheutuneesta vahingosta.
Pankin menettelystä
Pankin velvollisuus estää maksutapahtumia
Asiakas on vedonnut tapauksessa myös siihen, että pankin turvajärjestelmät eivät ole reagoineet mitenkään poikkeuksellisiin rahasiirtoihin ja asiointiin samanaikaisesti eri IP-osoitteista.
Maksupalvelusääntelyn perusteella pankeilla on oltava käytössään maksutapahtumien valvontamekanismit, joiden avulla ne voivat havaita oikeudettomat ja petolliset maksutapahtumat. Pankkilautakunta on vakiintuneessa ratkaisukäytännössään tämän osalta todennut, että tällä velvollisuudella ei kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen petollisen käytön osalta, eikä pankki siten ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa yksinomaan sillä perusteella, ettei se ole estänyt petollisiksi osoittautuneita maksuja. Pankkilautakunta katsoo aiemman ratkaisukäytäntönsä mukaisesti, ettei pankki vastaa asiakkaalle aiheutuneesta vahingosta yksinomaan sillä perusteella, ettei se ole estänyt ko. maksuja niiden tekohetkellä.
Verkkopankin sisällä tehdyn oikeudettoman tilisiirron tekeminen ilman vahvaa tunnistamista
Maksupalvelulain 8 §:ssä määritetään, mitä laissa tarkoitetaan vahvalla tunnistamisella, jota lain 85 c § edellyttää palveluntarjoajan käyttävän, jos maksaja käyttää maksutiliään tietoverkon välityksellä. Edelleen lain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Vahvan tunnistamisen on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin (EU) 2015/2366 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa (RTS). Komission delegoidun asetuksen (EU) 2018/389 III luvussa luetellaan asiakkaan vahvaa tunnistamista koskevan periaatteen poikkeukset.
Em. asetuksen III luvun 15 artiklan, joka koskee saman luonnollisen henkilön hallussa olevien tilien välisiä tilisiirtoja, mukaan on sallittavaa, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.
Asiassa on riidatonta, että pankki ei ole edellyttänyt maksajan vahvaa tunnistamista siinä yhteydessä, kun rikolliset ovat ennen 26.3.2025 klo 18.55 tehtyä riidanalaista korttimaksua tehneet asiakkaan verkkopankissa klo 18.48 3.000 euron suuruisen tilisiirron ja korttimaksun jälkeen klo 18.57 2.050 euron suuruisen siirron asiakkaan säästötililtä asiakkaan käyttötilille, johon korttimaksussa käytetty kortti oli liitetty.
Pankkilautakunta toteaa maksupalveluja ja vahvaa tunnistamista koskevan sääntelyn sallivan palveluntarjoajien tietyissä poikkeustilanteissa poikkeavan vahvan tunnistamisen vaatimuksesta ja tässä tapauksessa lautakunta katsoo, että pankki on voinut sallia verkkopankin sisäisten siirtojen tapahtuvan ilman maksajan vahvaa tunnistamista.
Vaikka sääntely tietyissä poikkeustilanteissa sallii sen, ettei maksupalveluntarjoajan ole edellytettävä maksujen yhteydessä maksajan vahvaa tunnistamista, ei maksupalvelun käyttäjä maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan kuitenkaan vastaa maksuvälineensä oikeudettomasta käytöstä, jos maksupalveluntarjoaja ei ole maksuvälineen oikeudettoman käytön yhteydessä edellyttänyt maksajan vahvaa tunnistamista. Näin ollen salliessaan maksutapahtumia tehtävän ilman maksajan vahvaa tunnistamista ottaa pankki vastuulleen riskin maksuvälineen oikeudettomasta käytöstä.
Tässä tapauksessa asiakkaan verkkopankin sisällä asiakkaan säästötililtä asiakkaan käyttötilille tehdyt em. kaksi siirtoa ovat rikollisten oikeudettomasti tekemiä ja koska pankki on sallinut tilisiirtojen tekemisen ilman maksajan vahvaa tunnistamista, vastaa pankki näistä tilisiirroista.
Pankkilautakunta toteaa, että asiassa aiheutunut 2.050 euron vahinko on tässä tapauksessa realisoitunut, kun asiakas on edellä esitetyn tavoin antanut maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa 2.050 euron korttimaksun toteuttamiselle, minkä johdosta asiakas lähtökohtaisesti vastaa maksusta aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.
Tapauksessa saadun kokonaisselvityksen perusteella Pankkilautakunta kuitenkin katsoo, että asiassa aiheutuneen vahingon määrään on vaikuttanut ennen em. korttimaksua verkkopankissa tehty sisäinen siirto ja se, että pankki on sallinut kyseisen oikeudettoman siirron tekemisen ilman vahvaa tunnistamista. Koska pankki on sallinut sisäisen tilisiirron tekemisen ilman vahvaa tunnistamista ja siirto on oikeudeton, vastaa pankki asiassa aiheutuneesta vahingosta siltä osin kuin ko. siirto on asiassa aiheutuneen vahingon määrään vaikuttanut.
Riidanalainen korttimaksu on tehty asiakkaan käyttötililtä, jolla oli 152,61 euroa ennen edellä mainittua 3.000 euron oikeudetonta sisäistä tilisiirtoa. Ilman oikeudetonta ja pankin vastuulla olevaa sisäistä tilisiirtoa asiakkaan käyttötililtä olisi voitu tehdä vain 152,61 euron korttimaksu toteutuneen 2.050 euron korttimaksun sijaan. Näin ollen pankki vastaa asiassa aiheutuneesta vahingosta 152,61 euroa ylittävin osin.
Lopputulos
Pankkilautakunta katsoo asiakkaan antaneen ko. 2.050,00 euron korttimaksulle maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ja asiakkaan siten vastaavan korttimaksuista aiheutuneesta vahingosta pankin ja asiakkaan välisessä suhteessa. Edelleen lautakunta kuitenkin katsoo, että vahingon kokonaismäärään on vaikuttanut verkkopankin sisällä ennen em. korttimaksua tehty 3.000 euron suuruinen tilisiirto asiakkaan säästötililtä tämän käyttötilille. Koska pankki on sallinut kyseisen tilisiirron tekemisen ilman vahvaa tunnistamista ja siirto on oikeudeton, vastaa pankki kyseisestä tilisiirrosta ja asiassa aiheutuneesta vahingosta siltä osin kuin kyseisen siirto on vahingon kokonaismäärää lisännyt.
Pankkilautakunta suosittaa pankkia hyvittämään asiassa aiheutuneen vahingon määrän vähennettynä asiakkaan käyttötilillä ennen ko. korttimaksua olleilla 152,61 euroa varoilla tilille, jolta oikeudeton siirto ilman vahvaa tunnistamista tehtiin.
Ratkaisusuositus syntyi äänin 4–1. Ratkaisusuosituksen antamiseen osallistuivat puheenjohtaja Sillanpää sekä jäsenet Atrila, Punakivi ja Tervonen. Jäsen Piilon eriävä mielipide on liitteenä.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet: Atrila, Piilo, Punakivi, Tervonen
Jäsen Piilon eriävä mielipide:
Olen eri mieltä Pankkilautakunnan enemmistön ratkaisusuosituksen perusteluista ja lopputuloksesta.
Asian kannalta merkitykselliset lainsäännökset ovat maksupalvelulain 38 § (Maksajan suostumus maksutapahtuman toteuttamiseen), maksupalvelulain 85 c §:n 1 ja 5 momentti (Tunnistaminen), komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artikla (Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot), maksupalvelulain 62 §:n 3 momentin 4 kohta (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) sekä maksupalvelulain 63 §:n 1 momentti (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta).
Tapauksessa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista rikollisen tekemään asiakkaan omien tilien välisen siirron tekemiseen. Tilisiirto on tehty asiakkaan omien tilien välillä eli asiakas on ollut molempien kaikkien tilien omistajana. Omien tilien välillä tehdyn siirron jälkeen varat ovat edelleen olleet asiakkaan omalla tilillä ja hän on voinut määrätä varoista. Varsinainen vahinko asiakkaalle on tapahtunut, kun asiakkaan tililtä on tehty korttimaksu ulkopuoliselle saajalle. Nyt puheena olevassa tapauksessa asiakas on vahvistanut korttimaksun omalla tunnistussovelluksellaan ja antanut näin maksupalvelulain mukaisen suostumuksensa maksulle, jolla varat siirrettiin pois hänen hallinnastaan ulkopuoliselle. Mikäli asiakas ei olisi antanut suostumustaan korttimaksuun, ei vahinkoa olisi syntynyt. Syy-yhteyttä omien tilien välisellä siirrolla ei ole varsinaiseen vahinkoon ja näin ollen omien tilien välillä tehdystä siirrosta ei ole aiheutunut asiakkaalle korvattavaa vahinkoa.
Asiakkaalle aiheutunut vahinko ei ole seurausta omien tilien välisestä oikeudettomasta siirrosta, vaan asiakaan omalla maksupalvelulain mukaisella suostumuksella tehdystä korttimaksusta, joka ei maksupalvelulain mukaan ole maksuvälineen oikeudetonta käyttöä.
Lopputulos
Katson, että vahinko on aiheutunut maksupalvelulain 38 §:n mukaisella asiakkaan suostumuksella tehdyn maksutapahtuman seurauksena, joita ei ole pidettävä maksupalvelulain mukaan oikeudettomina. Asiakkaan omien tilien välillä ilman vahvaa tunnistamista tehty oikeudeton siirto ei ole syy-yhteydessä asiakkaan myöhemmin vahvistamalla siirrolla hänelle aiheutuneeseen vahinkoon.
Edellä todetuin perustein katson, että pankki ei vastaa asiassa aiheutuneesta vahingosta miltään osin, eikä Pankkilautakunnan tulisi suosittaa pankkia korvaamaan aiheutunutta vahinko vähennettynä asiakkaan käyttötilillä ennen ulkopuoliselle tehtyä korttimaksua olleilla 152,61 euroa varoilla.