Haku

FINE-76880-F9C7X4

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-76880-F9C7X4 (2026)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 29.01.2026

Miten vastuu asiakkaan anastetussa puhelimessa olleella pankin mobiilisovelluksella vahvistetuista oikeudettomista tilisiirroista jakautuu asiakkaan ja pankin välillä? Puhelimen anastus. Pankin mobiilisovelluksen oikeudeton käyttö. Maksuvälineen haltijan huolimattomuus. Sulkuilmoituksen tekeminen.

Tapahtumatiedot

A:n puhelin on anastettu 2.3.2025 illalla ruokakaupassa. 3.3.2023 A:n pankkitunnuksia käyttäen ja A:n puhelimessa olleella pankin tunnistusvälineellä vahvistaen on tehty viisi oikeudetonta tilisiirtoa, joiden yhteenlaskettu määrä on ollut 18.800 euroa.

Asiakkaan valitus

Asiakkaille maksuvälinepetoksen vuoksi aiheutunut vahinko on 18.800 euroa, josta takaisin on saatu palautuksina 10.159,82 euroa. Vahingon määrä on siten 8.640,18 euroa, joka pankin tulee korvata.

A:n matkapuhelin anastettiin ruokakaupassa torstaina 2.3.2023 klo 20.00-20.30. Varkautta ei huomattu heti tapahtuneen jälkeen. Se, että puhelin varastettiin ja A joutui mitä ilmeisimmin tietoteknisesti hyvin taitavan henkilön tekemän rikoksen uhriksi, ei tee hänestä törkeän huolimatonta. A on säilyttänyt pankkitunnuksia huolellisesti kotonaan, niitä ole viety asunnon ulkopuolelle eikä käyttäjätunnus, salasana ja avainlukulista ole ollut anastetun puhelimen mukana eikä asiakas ei ole luovuttanut niitä ulkopuolisille. Kaikki omat pankkisiirrot on tehty kodin kannettavalla tietokoneella. Paperisia tunnuksia ei ole ollut mahdollista saada haltuunsa murtautumatta asuntoon eikä murtoja ei ole tapahtunut. Oletuksena on, että tunnukset ovat päätyneet ulkopuoliselle 3.3. klo 15.22 jälkeen, kun anastettuun puhelimeen tehdyt ohjelmisto- ja sovellusmurrot ovat onnistuneet.

Puhelimen katoaminen huomattiin perjantaina 3.3.2023, ja epäilys sen jäämisestä kodin ulkopuolelle syntyi klo 21 jälkeen, kun sitä ei etsinnöistä huolimatta löydetty kotoa eikä talon parkkihallissa olevasta autosta. 4.3.2023 aamulla A kävi tuloksetta kysymässä kadonnutta puhelinta kodin alakerrassa sijaitsevasta ruokakaupassa, jossa oli asioinut. Aamulla A kävi myös toisen pankin palvelupisteessä kuolettamassa pankkikortin, joka oli kadonnut puhelimen mukana. Maanantai-aamuna 6.3.2023 A kävi poliisilaitoksella ilmoittamassa ajokortin anastuksen ja tilaamassa uuden kortin.

Paperiset tunnukset eivät olleet kadonneet, eivätkä asiakkaat osanneet epäillä puhelimen katoamisen/anastamisen johtaneen siihen, että tunnuksiin olisi voitu päästä käsiksi puhelimen kautta. Tämän vuoksi ilmoitusta tunnusten päätymisestä ulkopuolisen haltuun ei tehty. Laittomista pankkisiirroista he kuulivat ensi kerran maanantai-aamuna 6.3.2023, kun pankista soitettiin A:n puolisolle B:lle ja ilmoitettiin niistä.

Rikoksen tekijät ovat päässeet murtautumaan A:n puhelimen ohjelmistoihin, Gmail-sähköpostiin, Google Accounts -tilille sekä hänen puhelimessaan olleeseen pankin mobiilisovellukseen sekä tunnistusvälineeseen. Google Accounts -tilin pilvipalvelussa sijaitsevaan salasanapalveluun oli tallentunut eri palvelujen (mukaan lukien pankin palvelujen) käyttäjätunnuksia ja salasanoja. Näiden rikosten avulla tekijöiden arvellaan päässeen murtautumaan anastetun puhelimen kautta verkkopankkiin, josta he ovat tehneet tilisiirtoja perjantaina 4.3.2023 klo 17 aikaan useissa eri osissa yhdelle ulkopuoliselle tilille toisessa pankissa sekä A:n Veikkaus-tilille.

Google Accounts -murron huomasi perheeseen kuuluva C 7.3.2023 tutkiessaan A:n tietokonetta, sähköpostiin tulleesta Samsung-salasanaresetoinnista sekä Google-tiliin kirjautumiseen vaadittavasta vahvistuskoodista, joka oli lähetetty Gmail-sähköpostiin. A ei saanut tietää tietomurrosta aikaisemmin, koska rikoksen tekijä oli peittänyt tekoaan siirtämällä Google-vahvistuskoodin sisältäneen viestin pois Saapuneet-kansiosta roskapostikansioon, josta se myöhemmin löytyi. Tämän vuoksi A ei pyytänyt pankkia sulkemaan tunnuksia heti puhelimen katoamisen jälkeen.

A ei ilman erityisiä tietoteknisiä taitoja voinut olettaa, että puhelimen kautta olisi voinut päästä tekemään tilisiirtoja tai muita väärinkäytöksiä, koska kadonneen puhelimen mukana ei ollut pankin käyttäjätunnusta, avainlukulistaa ja salasanaa. Tämän vuoksi hän ei olettanut, että hänen olisi täytynyt pyytää pankkia lukitsemaan verkkopankkitunnukset. Kyse ei ole ollut piittaamattomuudesta eikä törkeästä huolimattomuudesta. Huomautettakoon, että A sulki puhelimen mukana kadonneen luotto- ja käteiskortin välittömästi saatuaan tietää puhelimen ja kortin katoamisesta.

Törkeä huolimattomuus edellyttää sitä, että asiakas on selvästi piittaamaton turvallisuusasioista ja -riskeistä. Kynnys törkeään huolimattomuuteen on siis korkealla, kuten viimeaikaiset tuomioistuinpäätökset osoittavat, ml. Itä-Suomen hovioikeuden päätös velvoittaa pankki korvauksiin asiakkaalle pankkitunnusten luovuttamiseen liittyneessä huijauksessa.

On selvää, että A ei ole toiminut törkeän huolimattomasti tässä tapauksessa, kun hänen matkapuhelimensa on anastettu ja sen avulla on toteutettu tietomurto ja haettu pankkisiirtoihin tarvittavat tunnukset Googlen salasanapalvelusta. Epäilty tekijä on myöntänyt esikuulusteluissa syyllistyneensä sekä tietomurtoon että maksuvälinepetokseen, ja vahvistanut hakeneensa tunnukset tietomurron avulla asiakkaan anastetusta matkapuhelimesta. Rikoksen päätekijä on tuomittu käräjäoikeudessa 4.3.2025 kahdeksan kuukauden ja 15 päivän vankeuteen syyllistyttyään asiassa tietomurtoon ja törkeään maksuvälinepetokseen. Myös kaksi muuta tekijää on tuomittu rikoksista kyseisessä asiassa.

Tuomiosta selviää, että rikos on tehty seuraavasti: tekijä on anastanut A:n matkapuhelimen, murtautunut puhelimen kautta hänen sähköpostiinsa ja pyytänyt Googlelta Google-tilin […]@gmail.com käyttöoikeutta sähköpostiosoitteen kautta. Rikoksen tekijä on tämän jälkeen saanut Googlelta A:n sähköpostiin vahvistuskoodin, jota käyttämällä hän on päässyt tilillä olevaan Chrome-selaimen salasanapalveluun. Tästä salasanapalvelusta tekijä on noutanut A:n pankkitunnukset (käyttäjätunnus ja nelinumeroinen salasana), jotka olivat kirjautuneet Googlen Chrome-selaimen salasanapalveluun, kun A oli käyttänyt pankkitunnuksia Chrome-selaimella kotonaan hoitaessaan tietokoneellaan pankkiasioita. Oikeudettomat ja laittomat siirrot rikoksen tekijä on vahvistanut anastetussa puhelimessa olleella pankin tunnistusvälineellä.

A ei ole koskaan käyttänyt (anastetulla) puhelimellaan verkkopankkia, vaan ainoastaan kotona olevalla tietokoneella ja säilyttänyt tunnuksia huolellisesti kotonaan turvallisessa paikassa. Pankin tunnistusväline hankittiin puhelimeen vain siksi, että haluttiin lisätä pankkisiirtojen turvallisuutta kaksivaiheisella tunnistuksella.

Käräjäoikeus toteaa tuomiossaan seuraavasti: "Z on itsekin myöntänyt käyttäneensä puhelimessa olleita tietoja luvattomasti. Google-tilin salasanan resetoinnista esitetyn valokuvatodisteen perusteella käräjäoikeus katsoo selvitetyksi, että tällä tavoin Z:lla on ollut pääsy puhelimen tallennettuihin salasanoihin. Käräjäoikeus ei pidä uskottavana Z:n väitettä siitä, että asianomistajien pankkitileihin olisi päästy käsiksi ilman minkäänlaisia tunnuksia tai salasanoja, vaikka puhelimessa ei olisi ollutkaan näyttölukituksen pin-koodia käytössä." Käyttäjätunnusta ja salasanaa ei siis ole säilytetty törkeän huolimattomasti, vaan rikos (törkeä maksuvälinepetos) on vaatinut edellä kuvatun tietomurron, joka puolestaan on vaatinut tekijältä suunnitelmallisuutta ja teknistä ymmärrystä.

A on toimittanut lautakunnalle myös käräjäoikeudelle toimitetut kuvat tietomurrosta tuomitun tekijän A:n sähköpostiin tilaamasta Google-tilin vahvistuskoodista. Tämän koodin avulla tekijä on murtautunut A:n Google-tilille ja päässyt tilillä olevaan salasanapalveluun. Tekijä on saanut tämän koodin haltuunsa A:n sähköpostin kautta 3.3.2023 klo 15.22 vain hieman ennen törkeää maksuvälinepetosta ja laittomia tilisiirtoja.

Sillä, että tekijä väittää A:lta varastamansa puhelimen näytönlukituksen olleen pois päältä, ei ole asiassa merkitystä. Rikos on vaatinut murtautumisen A:n sähköpostiin ja sitä kautta Google Accounts-salasanapalveluun. Pankki ei ole myöskään ohjeistanut, että pankin mobiilisovellusta ei tule säilyttää matkapuhelimessa, jossa on sähköposti ja joka ei mahdollisesti ole lukittu.

A katsoo, että pankilla on vastuu verkkopankkipalvelujensa turvallisen käytön ohjeistamisesta. Pankki ei ole ohjeistanut tai varoittanut asiakasta seikoista, jotka mahdollistivat rikoksen, minkä vuoksi A ei ole voinut suojautua tällaiselta tietoturvavaaralta. Pankki on luonnollisesti tietoinen siitä, että Chrome-selain tallentaa käyttäjätunnuksen ja salasanan Google-tilin salasanapalveluun, ellei käyttäjä sitä asetuksissa tai kysyttäessä estä. Pankin verkkopankkipalvelujen tietoturva-arkkitehtuuri on mahdollistanut tässä tapauksessa tehdyn rikoksen, vaikka A on säilyttänyt pankilta saamiaan käyttäjätunnusta, painettua avainlukulistaa sekä salasanaa huolellisesti ja ohjeiden mukaisesti kotonaan. Hän on käyttänyt verkkopankkia vain kotonaan, eikä koskaan varastetulla puhelimella. Puhelinta tarvittiin vain pankin tunnistusvälineellä tehtäviin vahvistuksiin.

On huomionarvoista, että A ei koskaan käyttänyt puhelintaan tilisiirtojen tekemiseen tai muuhun verkkopankkiasiointiin. Verkkopankkiasiointi hoidettiin kokonaisuudessaan kotitietokoneelta. Pankin tunnistussovellus hankittiin puhelimeen vain siksi, että haluttiin pankin suositusten mukaisesti lisätä tilisiirtojen turvallisuutta saamalla näin voimaan kaksivaiheinen tunnistus avainlukulistaa käytettäessä.

Pankki mainitsee, että kaksi käräjäoikeudessa tuomittua henkilöä on velvoitettu yhteisvastuullisesti korvaamaan oikeudettomista tilisiirroista aiheutuneet vahingot. Tämä pitää paikkansa, mutta A ja B eivät ole saaneet ulosotossa hakemiaan korvauksia. Tämä johtuu siitä, että tuomituilla ei ole ulosottokelpoista tuloa ja heidät on todettu varattomiksi.

Pankin vastine

Selvitys tapahtumasta

A kertoi häneltä anastetun puhelin todennäköisesti ruokakaupassa torstaina 2.3.2023. Hän ei huomannut puhelimen häviämistä heti tapahtuman jälkeen vaan alkoi etsiä kadonnutta puhelinta 3.3.2023 illalla. Reklamoidut tilisiirrot on tehty 3.3.2025 iltapäivällä.  Asiakkaan verkkopalvelun käyttäjätunnus on lukittu tapahtuman johdosta pankin toimesta 6.3.2023.

A on kertonut säilyttävänsä verkkopalvelunsa käyttäjätunnusta, salasanaa sekä avainlukulistaa kotonaan, eivätkä nämä ole päätynet ulkopuolisen haltuun. Hän on kertonut epäilevänsä, että ulkopuolisella on ollut pääsy verkkopalveluun Google Accounts salasanapalvelun kautta.

Tapauksessa on kiistatonta, että ulkopuoliset ovat saaneet haltuunsa A:n puhelimen, jossa on ollut asennettuna pankin mobiilisovellus ja puhelimen kautta sovelluksesta on ollut pääsy A:n tunnistusvälineen PIN-koodiin. Maksut on toteutettu vahvasti sähköisesti tunnistautuneena ja vahvistettu pankin tunnistusvälineellä, joka on ollut A:n käytössä jo pidemmän aikaa. Maksujen toteuttajalla on siis täytynyt olla hallussaan A:n mobiililaite, johon on ollut asennettuna pankin mobiilisovellus sekä kyseisen tunnistusvälineen PIN-koodi.

Käräjäoikeus on lainvoimaisessa tuomiossaan 4.3.2025 todennut yhden henkilön syylliseksi rahanpesuun, toisen tietomurtoon ja törkeään maksuvälinepetokseen ja kolmannen lievään kavallukseen. Kahta ensimmäiseksi mainittua henkilöä on käräjäoikeuden tuomiossa velvoitettu yhteisvastuullisesti korvaamaan asiakkaille oikeudettomista tilisiirroista aiheutunut vahinko ja kolmatta henkilöä on velvoitettu korvaamaan anastetun puhelimen arvo.

Pankin arviointi asiassa

Pankki viittaa maksupalvelulain 53 §:n 1 momenttiin ja 62 §:än sekä pankin tunnus- jo digisopimuksen ehtoihin.

Väärinkäytösten ehkäisemiseksi pankki on aktiivisesti varoittanut asiakkaitaan verkkopalvelutunnusten kalastelukampanjoista muun muassa verkkosivujensa tiedotteilla. Pankki korostaa kaikessa viestinnässään sekä sopimuksen tekovaiheessa, että tunnukset ovat henkilökohtaiset, eikä niitä saa luovuttaa kenellekään. Sopimuksen tekemisen yhteydessä asiakkaalle on sopimuksen sekä ehtojen lisäksi annettu Tärkeää tietoa tunnuksista -asiakirja, jossa on annettu yksinkertaiset turvallisuusohjeet tunnusten käyttämisestä.

Pankki katsoo, että yleisen tietämyksen ja pankin antamien varoitusten perusteella, asiakkaan tulisi olla tietoinen tunnusten turvallisesta ja huolellisesta käytöstä ja säilytyksestä.

Jotta nyt korvattavaksi vaaditut maksut on ollut mahdollista toteuttaa, niiden tekijällä on täytynyt olla hallussaan asiakkaan mobiililaite ja tunnistusvälineen PIN-koodi. Lisäksi tekijällä on täytynyt olla puhelimen mahdollinen pääsykoodi.

Pankki ei voi ottaa vastuuta siitä, miten asiakas on säilyttänyt salasanojaan.  Pankin tietoturva ei ole pettänyt miltään osin kyseisessä tapauksessa. Pankki on ohjeistanut, ettei tunnuksen osia saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon.  Tapauksessa rikollisen on pitänyt saada tietoonsa sekä käyttäjätunnus että pankin mobiilisovelluksen henkilökohtainen pin-koodi, jonka A on itse valinnut ja on ainoastaan A:n itsensä tiedossa. Kaikki tapahtumat on vahvistettu A:n mobiililaitteella vain hänen itsensä tiedossa olevalla pin-koodilla.  Lisäksi tunnusten sulkemiseen puhelimen katoamisen jälkeen on mennyt pitkähkö aika eli puhelin on anastettu torstaina ja tunnukset on suljettu vasta maanantaina. 

Osoittaa asiakkaalta piittaamattomuutta, ettei ole säilyttänyt tunnuksiaan turvallisesti, eikä säännöllisesti tarkistanut, että puhelin on tallessa, varsinkin, kun kaikki tiedot, jotka on vaadittu tilisiirtoihin, ovat olleet joko tallennettu puhelimeen tai niihin on ollut pääsy puhelimen kautta. Myös viivyttely tunnusten sulkuilmoituksen tekemisessä osoittaa huolimattomuutta.

Koska vahingonkorvaushakemuksen kohteena olevat tilisiirrot on toteutettu A:n omilla verkkopalvelutunnuksilla ja omalla tunnistusvälineellä vahvistaen, tapahtumankuluksi jää pankin käsityksen mukaan, että A ei ole sopimusehtojen vaatimalla tavalla huolehtinut tunnustensa riittävän turvallisesta säilytyksestä ja ulkopuolisella henkilöllä on A:n tietämättä ollut mahdollisuus saada A:n henkilökohtainen mobiililaite ja laitteeseen asennetun pankin mobiilisovelluksen tunnistusvälineen PIN-koodi tietoonsa. Tämän vuoksi pankki katsoo, että A on toiminut kokonaisuus huomioon ottaen törkeän huolimattomasti säilyttäessään verkkopalvelunsa kirjautumistietoja. Näin ollen pankki ei ole velvollinen korvaamaan aiheutunutta vahinkoa.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Käräjäoikeuden tuomio 4.3.2025
- Kuva asiakkaan sähköpostiin 3.3.2023 klo 15.22 tulleesta Googlen lähettämästä sähköpostista Google-vahvistuskoodi -otsikolla

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n (Katoamisilmoitus.) mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksuvälineen haltijalla on oikeus pyynnöstä saada palveluntarjoajaltaan todistus siitä, että hän on tehnyt 1 momentissa tarkoitetun ilmoituksen. Todistusta on pyydettävä 18 kuukauden kuluessa ilmoituksen tekemisestä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin tunnus- ja digisopimuksen ehtojen (jäljempänä pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankin tunnus- ja digisopimuksen (pankkitunnusehdot) tunnusten säilyttämistä ja sallitun käytön rajoituksia koskevan ehtokohdan mukaan
Sinulle luovutettu tunnus on henkilökohtainen. Tunnusta tai osaakaan siitä ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [pankin] hyväksymä.  […]
Tunnusta tai osaa niistä et koskaan saa:
- kertoa suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessasi [pankin] puhelinpalveluun näppäilet tunnuksen omaan puhelimeesi, samoin näppäilet tunnuksen puhelimeesi, jos haluat varmentaa sinulle tulevan puhelun olevan [pankin] soittama;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille.;
- antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella etkä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.[…]
- Käyttäjätunnuksen ja salasanan sisältävä kalvo tai muu, jolla tunnuksen osat on luovutettu, on hävitettävä eikä käyttäjätunnusta tai salasanaa saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon. Jos Tunnukset on luovutettu sähköisesti, sinun tulee itse suojata tunnukset ja varmistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisilla ja, että tiedot eivät jää ulkopuolisten saataville.
Sinun tulee säilyttää tunnustasi ja sen osia huolellisesti ja erillään toisistaan siten, ettei kenelläkään ulkopuolella, ei edes samaan perheeseen kuuluvalla tai niiden käyttöön oikeudettomalla yrityksen työntekijällä ole mahdollisuutta saada niitä tietoonsa. Tunnuksen osia ei saa säilyttää samassa säilytyspaikassa kotona, eikä esimerkiksi lompakossa tai käsilaukussa.
Sinun on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että Tunnus ja sen ovat tallessa.
Sinun tulee kirjautuessasi [pankin] digitaalisiin palveluihin suojata laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla tunnusta käytetään siten, ettei kenelläkään ole mahdollisuutta saada tunnusta tai sen osia tietoonsa.
[Pankin] digitaalisia palveluita ei saa käyttää tietokoneella tai muulla laitteella, jossa on havaittu tai epäillään olevan haittaohjelma. Et saa myöskään luovuttaa tietokoneesi tai muun laitteesi etäkäyttöä ulkopuolisille, kun käytät laitteella tunnustasi tai sen osia.

Pankkitunnusehtojen Sinun tulee ilmoittaa tunnuksen katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan
Sinun on välittömästi ilmoitettava [pankille] tunnuksen tai sen osan katoamisesta tai joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka, jos epäilet niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun.
Voit tehdä ilmoituksen puhelimitse [pankin] osoitteessa [pankki].fi ilmoitettuun sulkupalvelun puhelinnumeroon (24h/7vrk). [Pankin] asiakaspalvelun aukioloaikana ilmoituksen voi tehdä myös puhelimitse [pankin] ilmoittamaan puhelinnumeroon tai asioimalla henkilökohtaisesti [pankin] toimipaikoissa.
Pankin hyväksymien muiden tunnistusvälineiden ja varmanteiden osalta ilmoitus katoamisesta tehdään tunnistusvälineen tai varmenteen käyttöehtojen mukaisesti.

Asian arviointi

Tapahtumienkulku

Pankkilautakunta katsoo asiassa riidattomaksi, että tapahtumat ovat alkaneet siitä, kun asiakkaan puhelin on anastettu 2.3.2025 illalla ruokakaupassa. Käräjäoikeus on tapauksessa tietomurrosta tuomitun tekijän osalta katsonut Google-tilin resetoinnin perusteella selvitetyksi, että tekijällä on tällä tavoin ollut pääsy puhelimen tallennettuihin salasanoihin. Pankki ei ole tätä tapahtumienkulkua kiistänyt, eikä myöskään esittänyt, etteivätkö kaikki riidanalaisten maksujen tekemisen edellyttäneet tiedot olisi voineet päätyä rikollisten tietoon tällä tavoin tietomurron kautta.  Näin ollen myös Pankkilautakunta katsoo asiakkaan puhelimessa olleen pankin tunnistussovelluksen oikeudettoman käytön edellytyksenä olleen asiakkaan esittämin tavoin tekijän pääsy asiakkaan Google Accounts -tilin pilvipalvelussa sijaitsevaan salasanapalveluun, josta tekijät ovat saaneet asiakkaan verkkopankkitunnusten käyttäjätunnuksen sekä asiakkaan puhelimessa olleen pankin mobiilisovelluksen PIN-koodin.

Käräjäoikeus ei ole katsonut tietomurrosta tuomitsemisen kannalta olevan merkityksellistä, oliko puhelin lukittu, eikä oikeus ole ottanut kantaa tähän seikkaan. Tältä osin Pankkilautakunta kuitenkin katsoo toteutuneen tapahtumienkulun edellytyksenä olleen rikollisten mahdollisuus käyttää A:n puhelinta ja tämän edellyttäneen sitä, että joko puhelin ei ole ollut ollenkaan lukittu tai sitten tekijät ovat saaneet puhelimen lukituksen avaamisen edellyttämän koodin puhelimen anastuksen yhteydessä. Asiakas ei ole tältä osin esittänyt asiassa näkemystään, ja lautakunta katsoo asiassa saadun kokonaisselvityksen perusteella todennäköiseksi, että asiakkaan puhelinta ei ollut lukittu.

Asiakkaan menettelyn arviointi

Pankin tunnus- ja digisopimuksen mukaan asiakkaan tulee säilyttää tunnustensa osia huolellisesti ja erillään toisistaan siten, ettei kenelläkään muulla ole mahdollisuutta saada niitä tietoonsa. Jos tunnukset on luovutettu sähköisesti, asiakkaan tulee itse suojata tunnukset ja varmistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisille ja, että tiedot eivät jää ulkopuolisten saataville. Asiakkaan on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että tunnuksen osat ovat tallessa, ja asiakkaan tulee ilmoittaa pankille välittömästi tunnusten tai niiden osan katoamisesta tai joutumisesta käyttöön oikeudettoman tietoon taikka, jos epäilee niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun.

Pankkilautakunta kiinnittää huomiota siihen, että lukuun ottamatta kohtaa, jonka mukaan asiakkaan tulee tunnuksia sähköisesti luovutettuaan itse suojata tunnukset ja varmistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisille ja että tiedot eivät jää ulkopuolisten saataville, pankin ehdoissa ei aseteta nimenomaisia velvollisuuksia sen suhteen, miten asiakkaan tulisi menetellä niiden laitteittensa suhteen, joilla hän käyttää tunnuksiaan tai joille hän on esimerkiksi ottanut tunnuksiaan käyttäen käyttöönsä pankin mobiilisovelluksen ja tunnistusvälineen.

Pankkilautakunta katsoo, että huolellisen pankkitunnustenhaltijan tulee mieltää mahdollisuus ja riski pankkitunnustensa oikeudettomasta käytöstä myös siinä tilanteessa, että hänen pankkitunnustietojaan tai pankkisovelluksiaan sisältävä älylaite päätyy sivullisen haltuun. Velvollisuuden huomioida tämä riski voidaan katsoa kuuluvan myös nyt sovellettaviin ehtoihin, joissa asiakasta velvoitetaan eri tavoin säilyttämään ja käyttämään tunnuksiaan niin, etteivät ne tai niiden osat päädy sivullisen tietoon, ja toisaalta ilmoittamaan pankille jo siitä, jos epäilee tunnusten tai niiden osan päätyneen sivullisen haltuun. Tästä huolimatta Pankkilautakunta huomioi asiaa ja asiakkaan menettelyä arvioidessaan sen, ettei pankki ole itse palveluntarjoajana ja väärinkäytöstilanteiden riskit asiakastaan paremmin tuntien asettanut laatimissaan sopimusehdoissaan asiakkaalleen nimenomaisia - käyttämistä, säilyttämistä, tallellaolon seuraamista tai sulkuilmoituksen tekemistä koskevia - velvollisuuksia asiakkaan käyttämien laitteiden suhteen.

Tässä tapauksessa Pankkilautakunta on jo edellä katsonut, että asiakkaan puhelin on ollut lukitsematta, kun se on anastettu asiakkaalta. Lautakunta katsoo ilman nimenomaisia pankkitunnustenhaltijaa velvoittavia sopimusehtojakin huolellisesti toimivan pankkitunnustenhaltijan perusvaatimuksiin kuuluvan sen, että hän pitää automaattisesti lukittuvina älylaitteensa, joille hän on pankin sovelluksia käyttöönsä ladannut tai jonka muistissa on hänen pankkitunnustietojaan. Mikäli pankkitunnustenhaltija tästä huolimatta pitää älylaitettaan lukitsemattomana, tulisi hänen kiinnittää erityistä huomiota älylaitteensa turvalliseen säilyttämiseen ja sen tallellaolon seuraamiseen.

Tapauksessa on jäänyt selvittämättä, miten asiakas on älypuhelintaan säilyttänyt ja miten se on onnistuttu häneltä anastamaan. Pankkilautakunta kuitenkin katsoo, että asiakkaan lukitsemattoman puhelimen tultua anastettua hänen asioidessaan kaupassa ja hänen huomattuaan puhelimensa kadonneen vasta noin vuorokausi myöhemmin asiakkaan menetelleen pankkitunnustenhaltijana huolimattomasti. Mikäli asiakas olisi esimerkiksi kaupasta kotiin saavuttuaan tarkistanut puhelimensa tallellaolon ja sen katoamisen havaittuaan tehnyt sulkuilmoituksen korttinsa lisäksi pankkitunnuksistaan, olisi riidanalaisilta maksutapahtumilta ja niiden aiheuttamalta vahingolta vältytty.

Riidanalaiset maksutapahtumat oli tehty siinä vaiheessa, kun asiakas on puhelimensa katoamisen sen anastamista seuraavan päivän iltana havainnut. Näin ollen se, että asiakas ei ole tuossa tilanteessa sulkenut pankkitunnuksiaan, ei ole vaikuttanut asiassa aiheutuneeseen vahingon määrään. Pankkitunnuksia koskevan sulkuilmoituksen tekemättä jättämisen osoittama asiakkaan mahdollinen huolimattomuus ei siten ole syy-yhteydessä asiassa aiheutuneeseen vahinkoon eikä asiakkaan menettelyä tältä osin myöskään ole tapauksessa tarpeen arvioida. Sen sijaan Pankkilautakunta kuitenkin katsoo sen, että asiakas on katoamisen havaittuaan tehnyt sulkuilmoituksen ainoastaan samassa yhteydessä kadonneesta maksukortistaan, osoittavan asiakkaan esittämällä tavalla sen, ettei asiakas ole tuossa tilanteessa edes mieltänyt pankkitunnustensa voivan olla vaarassa ja niiden oikeudettoman käytön olevan mahdollista puhelimen anastamisen seurauksena. Tästä asiakkaan virheelliseksi osoittautuneesta käsityksestä ymmärrettävämmän tekee se, että asiakas on kertomansa mukaisesti hoitanut verkkopankkiasiointinsa kotitietokoneeltaan eikä hän ole tämän vuoksi ymmärtänyt tunnuksiinsa voitavan päästä käsiksi puhelimen kautta.

Ottaen huomioon viimeksi todetun ja sen, ettei pankki itse ole ehdoissaan huomioinut asiakkaidensa käyttämiä älylaitteita ja asettanut niitä koskevia nimenomaisia velvollisuuksia asiakkailleen, Pankkilautakunta katsoo, ettei asiakkaan menettelyn edellä todetusta puhelintaan koskeneesta varomattomuudesta huolimatta voida katsoa osoittavan asiakkaan suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin. Näin ollen pankkilautakunta katsoo, ettei asiakkaan huolimattomuus maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen noudattamisen suhteen ole laissa tarkoitetulla tavalla törkeää ja että asiakkaan vastuu asiassa aiheutuneesta vahingosta rajoittuu siten 50 euroon.

Lopputulos

Pankkilautakunta suosittaa, että pankki hyvittää asiakkaalle asiassa aiheutuneen vahingon 50 euroa ylittävin osin.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Atrila
Ketola
Makkonen
Punakivi

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä