Haku

FINE-77796-R1Y3R7

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-77796-R1Y3R7 (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 21.11.2025

Miten vastuu pankin tunnistussovelluksella vahvistetuista oikeudettomista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on saanut rikollisten pankin nimissä lähettämän tekstiviestin, jonka sisältämän linkin kautta hän on päätynyt asioimaan rikollisten luomilla valesivuilla. Asiakas on syöttänyt sivuille pankkitunnustietonsa.

Rikolliset ovat ladanneet ja aktivoineet käyttöönsä 9.5.2025 klo 15.28 asiakkaan nimissä olevan pankin tunnistussovelluksen. Tämä on edellyttänyt asiakkaan verkkopankin käyttäjätunnusta, salasanaa sekä pankin asiakkaalle klo 15.27 tekstiviestitse lähettämää aktivointikoodia.

Asiakkaan verkkopankkiin on kirjauduttu edellä mainitulla tunnistussovelluksella vahvistaen, ja verkkopankissa on sovellusta käyttäen vahvistettu kolme oikeudetonta tilisiirtoa asiakkaan käytössä olevilta tileiltä, yhteisarvoltaan 3 484,10 euroa.

Asiakkaan verkkopankkitunnukset sekä kortit on suljettu pankin toimesta 9.5. klo 16.49. Verkkopankkitunnusten kalastelu on havaittu pankissa, ja tunnukset on suljettu heti tapahtumien havaitsemisen jälkeen. Pankin on onnistunut estämään yhden tilisiirron, summaltaan 999,00 euroa. Reklamoidut tilisiirrot on tehty ennen pankkitunnusten sulkemista.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan menetetyt varat. Kertomansa mukaan hän sai pankin nimellä tulleen viestin, jossa kehotettiin avaamaan “[pankin nimi]” lähettämä viesti. Viesti oli asiakkaan mukaan tyyliltään uskottava ja tutunomainen. Viesti sisälsi linkin, jonka asiakas avasi hyvässä uskossa, koska se vaikutti aidolta. Asiakas kirjautui viestissä olleen linkin kautta avautuneelle sivustolle pankkitunnuksillaan. Asiakas kiistää tehneensä vahvaa tunnistautumista, eikä myöskään hyväksynyt yhtään maksua.

Asiakkaan kertoman mukaan hän on saanut pankilta kolme tekstiviestiä yhtä aikaa (samalla kellon lyömällä). Ensin aktivointikoodin sisältänyt viestin, jossa on varoitettu mahdollisesta huijauksesta ja heti perään viestin, jossa on todettu, että uusi tunnistussovellus on onnistuneesti aktivoitu. Kolmas viesti on sisältänyt jälleen uuden tunnistussovelluksen aktivointikoodin. Asiakas vetoaa, että kaikki nämä viestit ovat tulleet samalla hetkellä, jolloin hänellä ei tosiasiallisesti ole ollut mahdollisuutta reagoida tapahtuneeseen. Pankin pyyntö asiakkaalle ottaa yhteyttä omaan puhelinoperaattoriin on juridisesti epäolennainen. Asiakkaan vastuuta ei voida perustaa mahdolliseen viiveeseen, jota laitteen tekniset ominaisuudet tai verkko-olosuhteet voivat aiheuttaa.

Asiakkaan mukaan Maksupalvelulain 62 §:ssä edellytetään asiakkaan vastuun arviointia kokonaisharkintana ja törkeä huolimattomuus ei täyty automaattisesti yksittäisestä virheestä (esim. koodin luovutus), vaan arvioinnissa tulee huomioida viestien ajoitus ja ymmärrettävyys, asiakkaan todellinen mahdollisuus reagoida - pankin oma toiminta ja reagointinopeus. Pankki ei ole hänen mielestään yksilöinyt perusteita, mitä olosuhteita kokonaisharkinnassa on arvioitu. Asiakas vetoaa myös FINEn pankkilautakunnan ratkaisukäytäntöön, josta käy ilmi, että vastuu ei voi perustua yksin siihen, että asiakas on luovuttanut tunnistetiedon, jos viestintä on ollut epäselvää tai asiakkaalla ei ole ollut realistista mahdollisuutta estää tapahtumaa.

Lisäksi asiakas vetoaa pankin vastuuseen estää vastaavat vahingot, koska epäilyttävä toiminta alkoi klo 15.27, mutta tili suljettiin vasta klo 16.49. Tämä on yli tunnin viive, jonka aikana pankilla olisi ollut tekninen ja oikeudellinen mahdollisuus estää vahingon toteutuminen. Tällainen laiminlyönti muodostaa vakavan puutteen valvonta- ja suojausvelvollisuudessa, ja se on olennainen tekijä, joka kokonaisharkinnassa tukee vastuun siirtymistä pankille.

Lisäksi asiakas vetoaa rahoitusmarkkinalakiin, joka edellyttää pankilta viivytyksetöntä reagointia. Pankin asiakkaalle antamassaan vastauksessa ei ole viitteitä siitä, että valvonta- ja reagointivelvollisuutta olisi arvioitu.

Pankin vastine

Pankki kiistää asiakkaan korvausvaatimuksen. Pankin selvityksen perusteella asiakkaan reklamoimat tilisiirrot on hyväksytty vahvalla sähköisellä tunnistamisella. Pankin myöntämät pankkitunnukset ovat maksupalvelulain 8 §:ssä kohdassa 11 tarkoitettu maksuväline. Pankki viittaa maksupalvelulain 53, 54 ja 62 §:in sekä pankin sähköisen asioinnin ehtoihin. Pankki katsoo asiakkaan menetelleen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti, eikä pankki siten ole asiassa korvausvelvollinen.

Pankin havainnot tapahtumainkulusta

Pankin selvityksen mukaan tapauksessa on ollut kyse huijauksesta, jossa asiakas on saanut puhelimeensa huijausviestin ja luovuttanut huijaussivustolle vahingossa pankin tunnistussovelluksen aktivointikoodin. Tapahtumienkulku on asiakkaan mukaan ollut seuraava: Asiakas on saanut tekstiviestin pankilta. Viesti sisälsi linkin, ja koska pankki lähettää asiakkaalle tavanomaisesti vastaavia viestejä esimerkiksi laskuista, asiakas ei epäillyt viestiä vilpilliseksi. Viesti vaikutti tavanomaiselta, ja asiakas avasi siinä olleen linkin, minkä seurauksena huijari onnistui saamaan haltuunsa asiakkaan pankkitunnukset. Pankin tekemän selvityksen perusteella asiakkaan puhelinnumeroon on lähetetty pankin tunnistussovelluksen aktivointikoodi sovelluksen lataamista varten 9.5.2025 kello 15:27.25. Viestin sisältö on ollut seuraava: ” [pankin tunnistussovellus] Aktivointikoodisi VAROITUS – [pankin nimi] työntekijä tai kukaan luotettava taho ei missään tilanteessa pyydä sinulta tätä koodia eikä kehota sinua jakamaan sitä. Älä jaa koodia missään verkkosivustoilla, linkkien kautta tai kenellekään muulle paitsi suoraan [pankin tunnistussovellus] -sovelluksessa [pankin tunnistussovellus] aktivoimiseksi. Jos et ole aktivoimassa [pankin tunnistussovellus] ja saat tämän tekstiviestin, kyseessä on todennäköisesti huijausyritys. Koodin jakaminen voi altistaa sinut taloudellisille menetyksille. Aktivointikoodisi [pankin tunnistussovellus] on XXXXXX SMSID: xxxxxx ”

Tämän jälkeen 9.5. kello 15:28.21 samaan puhelinnumeroon on lähetetty vahvistusviesti pankin tunnistussovelluksen onnistuneesta latauksesta, viestin sisältö on tällöin ollut seuraava: ”Hienoa, olet nyt aktivoinut [pankin tunnistussovellus]. Jos et ole itse tällä hetkellä aktivoimassa [pankin tunnistussovellus] ja olet saanut tämän viestin, ota meihin yhteyttä mahdollisimman pian. Ystävällisin terveisin, [pankin nimi]. SMSID: xxxxxx”

Pankin selvityksen perusteella asiakkaan reklamoimat tilisiirrot on hyväksytty vahvalla sähköisellä tunnistamisella.

Asian arviointi ja perustelut

Asiakas on viitannut siihen, että hän on vastaanottanut pankilta samaan aikaan kolme eri tekstiviestiä. Edellä näkyy kaksi suomenkielistä tekstiviestiä, joiden tarkat lähetysajat ovat pankin lokitietojen perusteella kello 15:27.25 ja kello 15:28.21. Kaikki asiakkaan reklamoimat maksut on vahvistettu pankin tunnistussovelluksella, joka ollut ladattuna huijarin puhelimeen. Tiedoissa näkyy uusi ”bluejay”-niminen Android laite, joka otettu käyttöön 9.5. kello 15:28. Jos huijarin laitteen kieli on suomi, pankin tunnistussovelluksen aktivointiin liittyvät viestit tulevat suomeksi. Pankin tunnistussovellus toimii siten, että mikäli sovellus otetaan samoilla verkkopankkitunnuksilla käyttöön kokonaan uudella laitteella, vanha laite poistuu uutta lisättäessä. Eli kun huijari onnistuneesti otti pankin tunnistussovelluksen käyttöön omalla laitteellaan käyttäen asiakkaan verkkopankkitunnuksia, pankin tunnistussovellus ei enää toiminut asiakkaan omalla laitteella. Tämä johtuu siitä, että samoihin verkkopankkitunnuksiin voi olla liitettynä vain yksi laite kerrallaan.

Tässä asiakkaan tapauksessa, kun huijari on onnistuneesti ottanut pankin tunnistussovellus käyttöön omalla laitteellaan 9.5. kello 15:28., sovellus on poistunut käytöstä asiakkaan omalla laitteella. Tämä selviää pankin lokitiedoista, joiden mukaan asiakkaan oma laite (iPhone) on poistettu käytöstä 9.5. klo 15:28. Asiakkaan saama ruotsinkielinen tekstiviesti on lähetetty 9.5.2025 klo 15.29.14.

Viestin sisältö on ollut seuraava: ”Din aktiveringskod för [pankin tunnistussovellus] STOPP - En anställd på [pankin nimi] eller någon annan person kommer aldrig att be dig om att dela denna kod. Dela inte heller koden på några webbplatser, genom några länkar, eller med någon annan än direkt i [pankin tunnistussovellus] i syfte att aktivera ditt [pankin tunnistussovellus]. Om du för närvarande inte håller på att aktivera ditt [pankin tunnistussovellus] och får detta sms, är det troligen ett bedrägeriförsök. Att dela denna kod med någon kan utsätta dig för risk för ekonomisk förlust. Koden för att slutföra din aktivering av [pankin tunnistussovellus] är xxx; SMSID: xxxxxxx”

Ruotsinkielisellä viestillä lähetetyllä koodilla ei kuitenkaan ole enää otettu uutta pankin tunnistussovellusta käyttöön. Huijarin laitteella olleet verkkopankkisessiot ovat suomenkielisiä, kun taas asiakkaan tyypillisesti itse käyttämissään verkkopankkisessioissa kielenä näkyy ruotsi.

Asiakkaan verkkopankkitunnukset ja kortit ovat suljettu pankin toimesta 9.5. klo 16:49. Asiakkaan verkkopankkitunnusten kalastelu on havaittu pankissa, ja tunnukset on suljettu heti kun tapahtumat ovat havaittu. Pankin on onnistunut estämään yksi tilisiirto, summaltaan 999,00 euroa.  Asiakas on ollut pankkiin yhteydessä 12.5. soittamalla asiakaspalveluun. Asiakas ei ollut puhelun aikana halunnut käydä tilitapahtumia läpi. Seuraavana päivänä 13.5. asiakas on asioinut konttorilla, jossa tilitapahtumat käytiin läpi ja asiakas ilmoitti tunnistamattomista tilitapahtumista.

Läpimenneistä maksuista tehtiin palautuspyynnöt 13.5. saajapankkeihin, mutta valitettavasti varoja ei ollut enää palautettavissa. Asiakkaan vastaanottamissa tekstiviesteissä on kerrottu, että koodi on pankin tunnistussovelluksen aktivointia varten sekä varoitettu antamasta tätä kenellekään. Asiakkaan on tullut luovuttaa viestissä ollut aktivointikoodi huijaussivustolle yhdessä verkkopankin käyttäjätunnuksen sekä salasanan kanssa, ja tämän vuoksi huijari on päässyt lataamaan pankin tunnistussovelluksen omalle laitteelleen sekä tekemään asiakkaan reklamoimat tilisiirrot.

Pankin velvollisuus estää petollinen toiminta

Asiakas on omassa vastineessaan esittänyt huomioita koskien pankin menettelyä huijauksissa. Näiden huomioiden osalta pankki vastaa seuraavasti.

Pankki käyttää useita erilaisia kontrolleja, rajoituksia ja järjestelmiä suojellakseen asiakkaitaan petolliselta toiminnalta. Yksi kontrolleista pyrkii tunnistamaan petokseksi epäillyt tapahtumat ja pysäyttää ne manuaalista valvontaa varten. Mikään monitorointi ei kuitenkaan valitettavasti pysty estämään kaikkia huijauksia 100 %. Tämän tarkemmin pankki ei valitettavasti voi avata riskienhallinnallisia menetelmiään. Tässä asiakkaan tapauksessa huijarilla on ollut tiedossaan asiakkaan verkkopankkitunnukset ja pankin tunnistussovellus tehdäkseen asiakkaan reklamoimat tilisiirrot.

Lisäksi pankki on todennut, että pankin sivuilla kerrotaan laajasti turvallisesta pankkiasioinnista ja siitä, miten asiakas voi suojautua erilaisilta huijauksilta. Erilaisten huijausten estämiseksi pankki on myös varoittanut asiakkaitaan verkko- ja mobiilipankissa erilaisista tietojenkalastelu- ja huijausviesteistä.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu mm. seuraavat asiakirjat:
- Kuva asiakkaan puhelimeen tulleesta tekstiviestistä
- Asiakkaan toimittama näyttötallenne puhelimeen tulleista pankin viesteistä
- Rikosilmoitus
- Asiakkaan pankille tekemät reklamaatiot
- Pankin sähköisen asioinnin ehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi asiassa on arvioitava, onko maksuvälineen oikeudeton käyttö johtunut siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on ollut.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1–2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin sähköisen asioinnin ehtojen Sähköinen tunnistaminen ja sähköinen allekirjoitus kohdan mukaan
(…)
Tunniste on luonnollisen henkilön sähköisen tunnistamisen ja sähköisen allekirjoittamisen väline.
(…)

Ehtojen Tunnisteen säilyttäminen ja katoamisvastuu-kohdan mukaan
Tunnisteet ovat henkilökohtaiset, eikä niitä saa luovuttaa kolmannelle tai toisten henkilöiden, sovellusten tai palveluiden käyttöön. Asiakas ja käyttäjä sitoutuvat säilyttämään Pankin hyväksymät tunnisteet niiden käyttöohjeiden mukaan huolellisesti ja siten, ettei sivullisen ole mahdollista saada niitä tietoonsa tai käyttää niitä.  Asiakas vastaa hallussaan olevien tunnistetietojen huolellisesta säilyttämisestä siten, että ne eivät joudu sivullisen tietoon. Pankki ei koskaan pyydä pankkitunnusten tietoja sähköpostilla tai muutoin, kun pankki ottaa asiakkaaseen tai käyttäjään yhteyttä.
Tunnistetietoja ei koskaan saa antaa sähköpostilla tai puhelimella niitä kysyvälle, ei edes Pankille.
(…)

Asian arviointi

Tapahtumakulku

Asiassa on riidatonta, että kyse on maksuvälineen oikeudettomasta käytöstä, eikä asiakas ole antanut maksupalvelulain 38 §:n mukaista suostumustaan maksutapahtumille.

Pankki on tapauksessa esittänyt järjestelmätietoihinsa perustuvan selvityksen tapahtumista sekä siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin tunnistussovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin järjestelmätietoihin perustuvan selvityksen paikkansapitävyyttä.

FINEn Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jonka sisältämän linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on käyttänyt verkkopankkitunnuksiaan (käyttäjätunnus ja salasana) luullessaan asioivansa oman pankkinsa kanssa. Rikolliset ovat näin haltuunsa saamiensa asiakkaan pankkitunnustietojen avulla aloittaneet asiakkaan nimissä olevan uuden pankin tunnistussovelluksen käyttöönoton omalle laitteelleen. Tämän johdosta pankki on lähettänyt asiakkaalle tekstiviestin, joka sisälsi tunnistussovelluksen käyttöönoton edellyttämän vahvistuskoodin. Viesti on ollut sisällöltään seuraavanlainen: "[Pankin tunnistussovellus] Aktivointikoodisi. VAROITUS – [Pankin nimi] työntekijä tai kukaan luotettava taho ei missään tilanteessa pyydä sinulta tätä koodia eikä kehota sinua jakamaan sitä. Älä jaa koodia missään verkkosivustoilla, linkkien kautta tai kenellekään muulle kuin suoraan [Pankin tunnistussovellus] -sovelluksessa [Pankin tunnistussovellus] -palvelun aktivoimiseksi. Jos et ole aktivoimassa [Pankin tunnistussovellusta] ja saat tämän tekstiviestin, kyseessä on todennäköisesti huijausyritys. Koodin jakaminen voi altistaa sinut taloudellisille menetyksille. Aktivointikoodisi [Pankin tunnistussovellukseen] on XXXXXX. SMSID: XXXXXX."

Tämän jälkeen samaan puhelinnumeroon on lähetetty vahvistusviesti pankin tunnistussovelluksen onnistuneesta latauksesta, viestin sisältö on tällöin ollut seuraava: ”Hienoa, olet nyt aktivoinut [pankin tunnistussovellus]. Jos et ole itse tällä hetkellä aktivoimassa [pankin tunnistussovellus] ja olet saanut tämän viestin, ota meihin yhteyttä mahdollisimman pian. Ystävällisin terveisin, [pankin nimi]. SMSID: xxxxxx”

Asiakas ei kiistä saaneensa edellä mainittuja viestejä, mutta hän esittää, ettei hänellä ole ollut tosiasiallisesti mahdollisuutta reagoida tapahtuneeseen, koska viestit ovat hänen puhelimensa kellonajan perusteella tulleet samaan aikaan. Asiakas ei ole osannut epäillä, että kyseessä oli käynnissä oleva huijaus – päinvastoin, saatuaan pankilta viestin onnistuneesti ladatusta tunnistussovelluksesta, hän oletti kaiken olevan kunnossa.

Pankkilautakunnan käytettävissä olevan aineiston perusteella pankki on esittänyt lokitietojen mukaisen selvityksen viestien lähettämisajankohdista. Sen mukaan ensimmäinen aktivointikoodia sisältänyt viesti on lähetetty klo 15.27.25 ja vahvistusviesti uuden sovelluksen aktivoinnista klo 15.28.21. Asiakkaan toimittaman kuvakaappauksen mukaan kaikki pankin lähettämät viestit ovat kuitenkin tulleet hänelle klo 15.27.

Asiassa on siten riidatonta, että asiakas on vastaanottanut pankin lähettämän aktivointikoodin, eikä hän ole myöskään kiistänyt syöttäneensä ko. koodia sivustolle. Lautakunnalle ei ole esitetty mitään muuta vaihtoehtoista tapahtumainkulkua siitä, kuinka pankin lähettämä aktivointikoodi olisi voinut päätyä rikollisten haltuun.

Näin ollen Pankkilautakunta katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että myös pankin asiakkaalle tekstiviestitse lähettämä pankin tunnistussovelluksen vahvistuskoodi on päätynyt rikollisten tietoon siten, että asiakas on syöttänyt tiedon em. valesivuille mahdollisesti sisäänkirjautumistarkoituksessa. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Nyt kyseessä olevat oikeudettomat maksutapahtumat rikolliset ovat tehneet em. pankin tunnistussovelluksella vahvistaen.

Asiakkaan menettelyn arviointi

Soveltuvissa pankkitunnusehdoissa kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

Tässä kyseisessä tapauksessa asiakas on käyttänyt pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla, minkä vuoksi Pankkilautakunta katsoo hänen laiminlyöneen pankkitunnusehtojen mukaisia velvollisuuksiaan.

Pankkilautakunta katsoo lisäksi, että saatuaan tavanomaisesta verkkopankkiasioinnista poikkeavalla tavalla pankin tunnistussovelluksen käyttöönottoa koskevan viestin asiakkaan olisi tullut ymmärtää kyseenalaistaa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa vahvistuskoodi syöttämättä verkkosivuille. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa, olisi tapauksessa asiakkaan maksuvälineen oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Aiemmassa ratkaisukäytännössään Pankkilautakunta on katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Em. pankin tekstiviestissä on kerrottu vahvistuskoodia käytettävän pankin tunnistussovelluksen käyttöönottoon.

Ottaen erityisesti huomioon tunnistussovelluksen käyttöönoton vahvistavan koodin syöttämisen verkkosivustolle Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen suhtautuvan selvästi piittaamattomasti pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta, minkä vuoksi asiakkaan ja pankin välisessä suhteessa asiakas vastaa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.

Pankin velvollisuus estää oikeudettomia maksutapahtumia

Asiakas on tapauksessa vedonnut myös siihen, että pankki olisi laiminlyönyt valvontavelvoitteensa jättäessään poikkeukselliset siirrot havaitsematta ja pysäyttämättä.

Pankkilautakunta toteaa, että maksupalvelusääntelyn perusteella pankeilla on oltava käytössään maksutapahtumien valvontamekanismit, joiden avulla ne voivat havaita oikeudettomat ja petolliset maksutapahtumat. Tällä velvollisuudella ei kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta. Pankkilautakunta katsoo, että pankki ei siten ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa, sillä perusteella, että pankki ei ole estänyt ko. oikeudettomia maksuja.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                         
Sihteeri Haapsaari

Jäsenet

Atrila
Piilo
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä