Tapahtumatiedot
Asiakas on joutunut verkkohuijauksen uhriksi. Hän on ollut myymässä tuotetta Facebook Marketplace -sivustolla, kun ostajaksi tekeytynyt rikollinen on lähettänyt asiakkaalle sähköpostin, jossa on ollut linkki. Asiakas on käyttänyt pankkitunnuksiaan linkin kautta avautuneella rikollisen luomalla valesivustolla. Rikollinen on näin tietoonsa saamillaan asiakkaan pankkitunnustiedoilla aloittanut asiakkaan nimissä olevan pankin mobiilisovelluksen käyttöönoton omalla laitteellaan. Pankki on tämän seurauksena lähettänyt sovelluksen käyttöönottoon tarvittavan vahvistuskoodin asiakkaalle tekstiviestillä 18.05.2025 kello 16.46. Viestin sisältö on ollut:
TÄRKEÄÄ! [Pankin] verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellusta] uudessa laitteessa. VARO HUIJAUKSIA! ÄLÄ ANNA VAHVISTUSKOODIA KENELLEKÄÄN TAI MILLEKÄÄN VERKKOSIVUILLE. HUIJAUSSIVUSTOT VOIVAT NÄYTTÄÄ [PANKIN] SIVUILTA. Koodia käytetään vain [pankin mobiilisovelluksen] käyttöönottoon. Jos et ole itse ottamassa [pankin mobiilisovellusta] käyttöön, älä käytä koodia ja poista tämä viesti. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi 8918 laitteesi [mobiilisovellukseen]. Jos epäilet antaneesi verkkopankkitunnuksesi huijaussivulle, soita heti sulkupalveluun xx xxxx xxxx (pvm/mpm). Terveisin [Pankki]
Pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja luku tunnuslukutaulukosta sekä tekstiviestillä lähetetty vahvistuskoodi. Vahvistuskoodia on käytetty mobiilisovelluksen käyttöönottoon 18.05.2025 kello 16.47.
Asiakkaan vahingoksi on jäänyt 10 923,14 euroa. Reklamoidut korttiostot on tehty kortin tiedoilla ja vahvistettu em. tavoin käyttöönotetulla pankin mobiilisovelluksen tunnistamisella. Myös reklamoitu, mutta tilille palautunut, tilisiirto on vahvistettu ko. pankin mobiilisovelluksella.
Asiakas on sulkenut kortin ja verkkopankkitunnukset soittamalla sulkupalveluun 18.05.2025 kello 17.51. Asiakas on lisäksi ollut yhteydessä maksunsaajiin ja pyytänyt pankkia olemaan yhteydessä maksunsaajiin. Vain osa korttimaksuista on saatu palautettua. Reklamoidut tapahtumat on tehty 18.05.2025 kello 17.18 – 17.46 välisenä aikana eli ennen sulkuilmoitusta.
Asiakkaan vaatimukset
Asiakas pyytää FINEä arvioimaan, onko pankin päätös asianmukainen ja onko asiakkaalla oikeus saada menetetty rahasumma takaisin. Lisäksi asiakas vaatii, että
- pankkia kehotetaan keskeyttämään kaikenlainen korkojen ja kulujen kertyminen siihen asti, kunnes FINE on tehnyt ratkaisunsa.
- pankki keskeyttää luoton aktiivisuuden eli estää saldojen kasvun ja uudet maksutapahtumat.
- pankki maksaa hyvitystä siitä, että se ei ryhtynyt toimenpiteisiin heti huijaustilanteen paljastuttua asiakkaan pyynnöstä huolimatta.
-pankin vastuu kiistanalaisessa tilanteessa arvioidaan kokonaisuutena ottaen huomioon, että kyseessä oli hyvin organisoitu ja vaikeasti tunnistettava huijaus.
Asianajaja on asiakkaan asiamiehenä laatinut virallisen reklamaation pankille, jossa on vedottu maksupalvelulakiin sekä KKO:n ennakkoratkaisuihin (esim. KKO 2018:71), mutta pankki on pysynyt kannassaan. Reklamaatiossaan pankille asiakas on vaatinut, että pankki korvaa hänelle aiheutuneet vahingot pääomaltaan 50 euroa ylittäviltä osin.
Asiakas on joutunut vakavan huijauspetoksen uhriksi sunnuntaina 18.5.2025, jolloin hänen tileiltään tehtiin useita suuria maksutapahtumia ilman hänen suostumustaan. Huomattuaan tapahtumat asiakas sulki kaikki korttinsa ja verkkopankkitunnuksensa viipymättä ja teki rikosilmoituksen ja pankille reklamaation. Kyseessä oli erittäin uskottava huijaus, jonka toteutustapa sai asiakkaan toimimaan vilpittömässä uskossa.
Pankin mobiilisovellus otettiin käyttöön Google Pixel 5 -laitteessa, vaikka asiakas on aina käyttänyt iPhone 11 Pro -puhelinta. Tämä olisi ollut helposti havaittavissa pankin järjestelmissä, ja sen olisi pitänyt aiheuttaa poikkeustilanteen tarkastuksen tai varmistuksen. Kyseessä on selkeä tekninen varoitusmerkki, johon pankki ei reagoinut asianmukaisesti. Tämä herättää kysymyksen siitä, miksi pankin järjestelmä ei tunnistanut poikkeavaa laitetta ja IP-osoitetta. Miksi kirjautuminen ja uuden laitteen käyttöönotto hyväksyttiin ilman lisävarmistusta? Kyse ei ole asiakkaan huolimattomuudesta, vaan pankin järjestelmän puutteista.
Pankin lähettämä tekstiviesti, jossa oli vahvistuskoodi, sisälsi kyllä varoituksen huijauksista, mutta viesti oli pitkä, monivaiheinen ja vaikeaselkoinen. Viestissä annettiin sekä varoitus että ohje, ja paineen ja huijarin ohjauksen alla viestin lukeminen ja ymmärtäminen ei ollut realistista.
Lisäksi asiakas pitää ongelmallisena sitä, että sama tekstiviesti lähetetään aina samanlaisena, eikä järjestelmä kerro, kuka on pyytänyt koodin. Asiakas sai koodin, mutta ei itse pyytänyt sitä – huijari oli jo aktivoimassa pankin mobiilisovellusta.
Tämä on tekninen ja viestinnällinen ongelma, jonka vuoksi asiakasta ei voida pitää yksin vastuussa tapahtuneesta, vaikka hän syöttäisi koodin vilpittömässä uskossa. Tällainen viesti ei välttämättä suojaa asiakasta, vaan voi jopa johtaa harhaan.
Asiakas huomauttaa, että pankin puhelinviesteissä ja varoituksissa esiintyy aina sama yleinen ilmoitus huijauksista. Viestit näyttävät täysin samanlaisilta sekä tavallisessa että vaarallisessa tilanteessa. Tämä tekee mahdottomaksi erottaa todellisen vaaratilanteen ja antaa asiakkaalle väärän turvallisuuden tunteen.
Asiakkaasta tuntuu, että huijarilla on ollut kaikki mahdollisuudet toimia, kun taas asiakkaalla ei ollut minkäänlaista suojaa. Tämä on moraalisesti epäreilu tilanne ja herättää vakavia kysymyksiä pankin vastuusta ja asiakkaan turvasta digitaalisissa palveluissa.
Pankin vastauksessa ei oteta huomioon huijauksen teknisesti edistynyttä toteutustapaa. Asiakas sai viestin, joka sisälsi paljon teknistä kieltä ja varoituksia, mutta se ei estänyt häntä vahingossa toimimasta huijauksen mukaisesti. Lisäksi pankin turvatoimet eivät estäneet mobiilisovelluksen käyttöönottoa vieraalla laitteella, vaikka asiakas on vakiokäyttäjä iPhone 11 Pro -laitteella.
Asiakas on toiminut huolellisesti ja reagoinut nopeasti. Pankki ei ole osoittanut riittävästi törkeää huolimattomuutta, eikä ole myöskään toiminut petostilanteessa riittävän suojaavasti.
Asiakas otti heti petoksen huomattuaan yhteyttä kaikkiin maksunsaajiin, joille rahat olivat siirtyneet. Esimerkiksi Verkkokauppa reagoi nopeasti ja perui tilauksen kokonaan. Lisäksi matkatoimisto palautti rahat nopeasti, jo parissa päivässä. Muut yritykset puolestaan vastasivat, että vain pankki voi pyytää maksunpalautusta. Pankki ei kuitenkaan tehnyt mitään, vaikka asiakas pyysi tätä konttorissa paikan päällä.
Asiakas oli aktiivinen, toimiva osapuoli tilanteen selvittämisessä. Tämä osoittaa, että asiakas ei ollut välinpitämätön tapahtumien suhteen vaan toimi aktiivisesti ja nopeasti minimoidakseen vahingot. Asiakas olisi toivonut, että myös pankki olisi ryhtynyt vastaaviin toimenpiteisiin ilman viivettä.
Asiakas myöntää virheensä, mutta pankin pitäisi suojella asiakkaitaan ja olla heidän puolellaan näissä ikävissä tilanteissa. Asiakas ei ole koskaan tietoisesti antanut verkkopankkitunnuksiaan kenellekään tai millekään sivustolle. Hän säilyttää tunnuksia turvallisesti, eikä käytä niitä puhelimitse, tekstiviestitse tai sähköpostin kautta. Asiakas on aina noudattanut pankin turvallisuusohjeita. Huijaustilanteessa asiakas syötti pankilta saamansa vahvistuskoodin sivustolle, jonka uskoi olevan logistiikkapalvelu. Hän ei tiennyt, että kyse oli pankin mobiilisovelluksen käyttöönotosta. Asiakas ei ladannut sovellusta eikä antanut lupaa uuden laitteen käyttöönottoon. Huijaus oli äärimmäisen ammattimaisesti toteutettu. Viestit sisälsivät Postin oikean logon ja saapuivat juuri, kun asiakas oli ollut yhteydessä verkossa tuotetta ostavinaan olevaan henkilöön. Tilanne oli nopea ja painostava, jonka arviointi jälkikäteen on huomattavasti helpompaa kuin tilanteessa itse toimiessa.
Samana iltana tehtiin useita ostoksia muutaman minuutin välein suurilla summilla, noin 15 000 arvosta, eri ulkomaisiin verkkokauppoihin, jotka ovat täysin poikkeavia asiakkaan omasta asiakaskäyttäytymisestä. Pankin järjestelmän olisi pitänyt havaita ja estää tapahtumat.
Kaikki huijaustapahtumat olivat vielä katevarauksessa, kun asiakas oli yhteydessä pankkiin. Maksut olisi voitu estää, jos pankki olisi toiminut ja ollut asiakkaan puolella. Yritykset olisivat palauttaneet rahat, jos pankki olisi ollut heihin yhteydessä. Asiakas oli itse yrityksiin yhteydessä ja ne ilmoittivat, että maksun voi perua, kunhan pankki ottaa heihin yhteyttä.
Asiakas on myöhemmin tarkentanut kantaansa, toimittanut maksunsaajien vastaukset FINElle ja kertonut olleensa yhteydessä maksunsaajana olleeseen hotelliin, josta on suullisesti ehdotettu, että asiakas olisi yhteydessä poliisiin ja pankkiin. Asiakas ei saanut kunnolla yhteyttä toiseen matkatoimistoon, joka oli maksunsaajana.
Asiakas tarkentaa, että luottotililtä siirretty summa 1 800 euroa liittyy samaan huijaustapahtumien kokonaisuuteen. Huijari siirsi varat luotolta käyttötilille ja käytti ne välittömästi luvattomiin korttiostoihin.
Pankki on ilmoittanut, että se voi nollata vain yhden laskutuskauden kerrallaan, mutta korot ja kulut kertyvät normaalisti. Tämä tarkoittaa, että velka kasvaa jatkuvasti, ja asiakas kantaa riskin ja taloudellisen vastuun ennen mitään ratkaisua. Tämä on epäoikeudenmukaista ja asiakaslähtöisyyden vastaista tilanteessa, jossa tapahtumat ovat kiistanalaisia ja vastuunjako on kesken. Luottotilin korko kasvaa jatkuvasti käsittelyn pitkittyessä, vaikka asiakas on tehnyt kaiken voitavansa selvittääkseen tilanteen ja toimittanut FINElle sekä pankille tarvittavat todisteet ajoissa. Tämä on asiakkaalle kohtuutonta, etenkin kun huijaus on ollut täysin hänen tahdostaan riippumaton.
Asiakas on toimittanut valituksensa liitteenä rikosilmoituksen, selvityspyynnön pankkiin, asianajajan pankille tekemän reklamaation, pankin vastaukset ja tilitapahtumat, asiakkaan viestejä maksunsaajille sekä maksunsaajilta tulleita vastauksia.
Palveluntarjoajan kanta
Pankki kiistää asiakkaan vaatimukset.
Pankki pitäytyy esittämässään kannassa ja viittaa aiemmin antamaansa reklamaatiopäätökseen, jossa on esitetty myös tapahtumien pääasiallinen kulku. Pankin viittaamassa reklamaatiopäätöksessä todetaan pääpiirteittäin seuraavaa.
Asiakas on reklamoinut luotolta siirtoa sekä alla olevia tapahtumia:
18.05.2025 kello 17:46 TILISIIRTO VERKKOKAUPPA.COM -3 103,99 euroa Reklamoitu tilisiirto on palautunut asiakkaan tilille.
19.05.2025 PALAUTETTU MAKSU +3 103,99 euroa
Lisäksi asiakas reklamoit alla olevia ostotapahtumia:
18.05.2025 kello 17:31 KORTTIOSTO AOB Travel -2 587,00 euroa 18.05.2025 kello 17:26 KORTTIOSTO AGODA.COM LE MERIDIE -2 540,00 euroa
Asiakkaan tilille on palautunut alla oleva, reklamoitu kortilla tehty tapahtuma:
29.05.2025 KORTTIOSTON KORJAUS AOB Travel +2 400,00 euroa
Lisäksi asiakas reklamoi alla olevia ostotapahtumia:
18.05.2025 kello 17:23 KORTTIOSTO TURKISH AIRLINES -3 815,92 euroa
18.05.2025 kello 17:18 KORTTIOSTO PRESTIGIACOM -4 380,22 euroa
Asiakkaan tilille saapuneiden ja sieltä lähteneiden maksujen jälkeen reklamoitava summa on -10 923,14 euroa. Reklamoidut korttiostot on tehty kortin tiedoilla ja vahvistettu Visa Secure -tunnistuspalvelussa pankin mobiilisovelluksen tunnistamisella. Myös reklamoitu, tilille palautunut tilisiirto on vahvistettu pankin mobiilisovelluksella.
Pankki on tutkinut tapahtumien tekniset tiedot taustajärjestelmistään. Kaikki reklamoidut tapahtumat on vahvistettu pankin mobiilisovelluksella. Mobiilisovellus, jolla tapahtumat on vahvistettu, on ladattu 18.05.2025 kello 16:47 laitteelle Google Pixel 5. Asiakas käyttää mobiilipankkisovellusta itse laitteella iPhone 11 Pro. Pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja tunnuslukutaulukko sekä tekstiviestillä lähetetty vahvistuskoodi. Tunnuslukutaulukko, jota mobiilisovelluksen käyttöönotossa on käytetty, on vain asiakkaan hallussa. Pankilla ei ole tunnuslukutaulukoita tai niiden sisältämiä tunnuksia, jotka sivullinen voisi saada haltuunsa. Pankki on lähettänyt sovelluksen käyttöönottoon tarvittavan vahvistuskoodin asiakkaalle tekstiviestillä 18.05.2025 kello 16:46. Viestin sisältö on ollut:
TÄRKEÄÄ! [Pankin] verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellusta] uudessa laitteessa. VARO HUIJAUKSIA! ÄLÄ ANNA VAHVISTUSKOODIA KENELLEKÄÄN TAI MILLEKÄÄN VERKKOSIVUILLE. HUIJAUSSIVUSTOT VOIVAT NÄYTTÄÄ [PANKIN] SIVUILTA. Koodia käytetään vain [pankin mobiilisovelluksen] käyttöönottoon. Jos et ole itse ottamassa [pankin mobiilisovellusta] käyttöön, älä käytä koodia ja poista tämä viesti. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi 8918 laitteesi [mobiilisovellukseen]. Jos epäilet antaneesi verkkopankkitunnuksesi huijaussivulle, soita heti sulkupalveluun xx xxxx xxxx (pvm/mpm). Terveisin [Pankki]
Pankki käyttää puhelinoperaattorin tarjoamaa palvelua, jonka kautta lähettää tekstiviestit. Taustajärjestelmän mukaan viesti on lähetetty onnistuneesti asiakkaan puhelinnumeroon. Jotta pankin mobiilisovelluksen käyttöönotto uudella laitteella on ollut mahdollista, vahvistuskoodi on täytynyt palauttaa uudessa laitteessa olevaan mobiilisovellukseen.
Asiakas on sulkenut kortin ja verkkopankkitunnukset soittamalla sulkupalveluun 18.05.2025 kello 17.51. Reklamoidut tapahtumat on tehty 18.05.2025 kello 17.18 – 17.46 eli ennen sulkuilmoitusta.
Asiakas on kertonut kirjautuneensa tapahtumien aikaan verkkopankkiin pankkitunnuksilla. Asiakas ei ole kertonut tarkemmin, mitä kaikkia verkkopankin kirjautumistietoja antoi tällöin sivustolle. Asiakas kiistää luovuttaneesta tunnuksiaan ulkopuoliselle. Joku on kuitenkin ottanut kyseisenä päivänä käyttöönsä pankin mobiilisovelluksen ja tähän käyttöönottoon on tarvittu asiakkaan verkkopankin käyttäjätunnus, salasana ja ainakin yksi tunnuslukutaulukon koodi sekä tekstiviestillä lähetetty vahvistuskoodi. Nämä tunnukset ovat vain asiakkaan hallussa, joten pankki katsoo, että asiakkaan on täytynyt luovuttaa verkkopankkitunnuksensa huijaussivustolle ja sitä kautta sivulliselle silloin, kun luuli tunnistautuvansa Postin toimitusta varten.
Pankin lähettämässä tekstiviestissä kerrotaan selkeästi viestissä olevan vahvistuskoodin liittyvän pankin mobiilisovelluksen lataamiseen. Vahvistuskoodia on käytetty mobiilisovelluksen lataamiseen 18.05.2025 kello 16:47. Asiakas myöntää, että on syöttänyt kyseisen koodin omassa verkkopankissaan. Viestissä on erikseen maininta, että viestissä olevaa koodia ei saa luovuttaa muualle kuin pankin mobiilisovellukseen. Asiakas on kuitenkin syöttänyt koodin sivustolle, vaikka ei ole ollut itse lataamassa mobiilisovellusta. Pankki katsoo, että asiakkaan olisi tullut tässä vaiheessa ymmärtää, että kyse on huijauksesta, eikä syöttää vahvistuskoodia linkin takaa avautuvalle sivustolle. Näin ollen toiminta on ollut törkeän huolimatonta. Asiakas on luovuttanut verkkopankkitunnukset ja tekstiviestin vahvistuskoodin ehtojen ja turvallisuusohjeiden vastaisesti sivulliselle. Pankki katsoo, että pankkitunnusehtojen mukaista huolellisuusvelvoitetta ei ole noudatettu ja asiakas on toiminut maksupalvelulaissa tarkoitettua törkeää huolimattomuutta osoittavalla tavalla. Reklamoidut tapahtumat jäävät tässä tapauksessa asiakkaan vastuulle.
Pankki pitäytyy aiemmin esittämässään kannassa. Asiakkaan olisi tullut lukea pankin lähettämä sms-viesti mobiilisovelluksen lataamiseksi ja pidättäytyä syöttämästä vahvistuskoodia verkkosivustolle nimenomaisen kiellon mukaisesti.
Asiakas on toiminut pankkitunnusehtojen asiakkaan vastuuta koskevan kohdan vastaisesti ja luovuttanut verkkopankkitunnuksensa sekä mobiilipankkisovelluksen lataamiseen tarvittavan vahvistuskoodin rikollisten haltuun syöttämällä verkkopankkitunnuksensa rikollisen ylläpitämälle huijaussivustolle. Lisäksi asiakas on toiminut yleisten korttiehtojen kortinhaltijan ja tilinomistajan vastuuta oikeudettomasta käytöstä koskevan kohdan vastaisesti syöttämällä korttinsa maksutiedot rikollisen ylläpitämälle huijaussivustolle. Pankki katsoo, että asiakas on toiminut maksupalvelulain 62 §:ssä tarkoitetulla tavalla törkeän huolimattomasti. Näin ollen asiakas vastaa reklamoiduista tapahtumista täysimääräisesti.
Laskua koskevat vaatimusten osalta pankki toteaa, että asiakas on saanut ohjeet luoton muutospyyntöihin asiakaspalvelusta 29.7.2025. Asiakas voi pidättäytyä maksusta käsittelyn ajan ohjeistetulla tavalla. Asiakas vastaa luotosta aiemmin esitetyin perustein. Asiakas voi maksaa luoton pois, jos ei tahdo sille muodostuvan kuluja ja korkoja.
Chargeback:n osalta pankki toteaa seuraavaa. Reklamoidut korttiostot on tehty kortin tiedoilla ja vahvistettu vahvalla sähköisellä tunnistautumisella hyväksyen. Tällöin korttitapahtuma on välitetty korttiyhtiön vaatimusten mukaisesti. Tällöin pankki ei voi vaatia yhtiötä palauttamaan maksua, eikä kauppiaalla ole velvollisuutta palauttaa maksua.
Pankki on toimittanut vastauksensa liitteenä korttiehdot, pankkitunnusehdot sekä aiemmin antamansa päätöksen.
Sopimusehdot ja lainsäädäntö
Maksupalvelulain 40 §:n (Maksutoimeksiannon peruuttaminen) 1-4 momenttien mukaan
Maksupalvelun käyttäjä ei voi peruuttaa maksutoimeksiantoa sen jälkeen, kun maksajan palveluntarjoaja on vastaanottanut sen, jollei 2–4 momentista muuta johdu.
Jos maksupalvelun käyttäjä ja hänen palveluntarjoajansa ovat sopineet maksutoimeksiannon toteuttamisen aloittamisesta tiettynä päivänä tai tietyn ajan kuluttua taikka sinä päivänä, jona maksaja on asettanut varat palveluntarjoajan saataville, maksupalvelun käyttäjä voi peruuttaa toimeksiannon viimeistään kyseistä päivää edeltävänä työpäivänä.
Jos maksutapahtuma käynnistetään maksutoimeksiantopalvelun tarjoajan välityksellä, maksaja ei voi peruuttaa maksutoimeksiantoa sen jälkeen, kun suostumus maksutapahtuman käynnistämiseen on annettu maksutoimeksiantopalvelun tarjoajalle. Jos maksutapahtuma on maksunsaajan käynnistämä tai hänen välityksellään käynnistetty, maksaja ei voi peruuttaa maksutoimeksiantoa sen jälkeen, kun toimeksianto tai maksajan suostumus maksutapahtuman toteuttamiseen on annettu maksunsaajalle. Suoraveloitusta koskevan toimeksiannon maksaja voi kuitenkin peruuttaa viimeistään sitä päivää edeltävänä työpäivänä, jona varat on sovittu veloitettaviksi. (SK: 898/2017, HE:132/2017, VTS)
Edellä 1–3 momentissa tarkoitetun ajankohdan jälkeen maksutoimeksianto voidaan peruuttaa vain, jos maksupalvelun käyttäjä ja asianomaiset palveluntarjoajat niin sopivat. Edellä 3 momentissa tarkoitetussa tapauksessa edellytyksenä on lisäksi, että maksunsaaja suostuu toimeksiannon peruuttamiseen.
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Maksupalvelulain 81 §:n mukaan
Maksu sitoo maksajan velkojia ja muita sivullisia, kun maksunsaajan palveluntarjoaja on saanut tarvittavat tiedot maksutapahtuman rahamäärän maksamiseksi maksunsaajan maksutilille ja:
1) maksutapahtuman rahamäärä on maksettu maksunsaajan palveluntarjoajan tilille; tai
2) maksunsaajan palveluntarjoajan asettamat maksutapahtuman katetta koskevat ehdot ovat muutoin täyttyneet.
Maksu sitoo sivullisia kuitenkin aina, kun maksutapahtuman rahamäärä on maksettu maksunsaajan maksutilille.
Luottolaitoslain 15 luvun 1 §:n (Hyvä pankkitapa) mukaan
Sen lisäksi, mitä muualla tässä laissa säädetään, luottolaitoksen on noudatettava hyvää pankkitapaa.
Pankin 28.3.2024 alkaen voimassa olleiden korttiehtojen kohta, joka koskee asiakkaan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavaa säännöstä.
Pankin 1.2.2024 alkaen voimassa olleiden digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavaa säännöstä.
Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
[…]
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
[…]
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi asiassa on arvioitava, onko maksuvälineen oikeudeton käyttö johtunut siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on ollut.
Siinä tapauksessa, että vastuu rikollisista maksutapahtumista olisi jäämässä asiakkaalle, asiassa tulee vielä arvioitavaksi, vastaako pankki asiakkaalle oikeudettomista maksuista aiheutuneesta vahingosta sillä perusteella, että pankki olisi laiminlyönyt velvollisuuksiaan estää maksut taikka rajoittaa vahinkoa ottamalla yhteyttä maksunsaajiin.
Asiakkaan menettelyn arviointi
Pankkitunnusehdoissa kielletään käyttämästä verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla.
Tässä tapauksessa on FINEn käsityksen mukaan riidatonta, että asiakas on ostajaksi tekeytyneen rikollisen harhaanjohtamana mennyt aidonnäköisessä – Postin logon sisältäneessä – viestissä olevasta linkistä ja käyttänyt pankkitunnuksiaan, ml. pankin asiakkaalle lähettämää mobiilisovelluksen aktivointikoodia.
Asiassa saadun selvityksen perusteella rikollisilla on täytynyt olla tiedossaan myös asiakkaan korttitiedot. Tämän osalta FINE katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että asiakas on syöttänyt em. valesivuille myös korttitietonsa. Nyt kyseessä olevat oikeudettomat korttimaksut rikolliset ovat tehneet asiakkaan korttitietoja käyttäen ja em. pankin tunnistussovelluksella vahvistaen.
Yllä mainitun perusteella FINE katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan sähköpostissa olleen linkin kautta avautuneilla verkkosivuilla.
FINE kiinnittää tässä huomiota kuitenkin siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä viestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa sähköpostin ja siinä olevan linkin asianmukaisuutta.
Ottaen lisäksi huomioon, että tässä tapauksessa viestissä olleesta linkistä on avautunut pankin tunnistautumissivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella luullut tunnistautuvansa logistiikkapalveluyritykseen pankkitunnuksillaan, FINE katsoo, ettei asiakkaan laiminlyönnin pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.
FINE kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen käyttöönottoa koskevan ja sen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Asiakas on valituksessaan vedonnut siihen, ettei ole itse tuolloin pyytänyt koodia, eikä ole ollut ottamassa käyttöön pankin mobiilisovellusta. Tämän osalta FINE toteaa, että juuri tästä syystä asiakkaan olisi huolellisesti toimiessaan tullut reagoida poikkeukselliseen vahvistuspyyntöön. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi viestissä olleen kehotuksen mukaisesti ottanut itse yhteyttä sulkupalveluun taikka pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään.
FINE toteaa, että pankin asiakkaalle lähettämässä em. tekstiviestissä kerrotaan asianmukaisesti, mitä tarkoitusta varten viestissä ollut koodi on ja mihin koodi tulee syöttää. Viestissä myös varoitetaan huomiota herättävillä isoilla kirjaimilla huijauksista sekä huijaussivustoista, jotka voivat viestin mukaan näyttää pankin sivuilta.
Asiakas on saadun selvityksen mukaan syöttänyt valesivustolle myös korttitietonsa. FINE katsoo, että asiakkaan olisi huolellisesti toimiessaan tullut myös tämän poikkeuksellisen pyynnön johdosta ymmärtää keskeyttää asiointinsa ja esimerkiksi olla yhteydessä pankkiin tiedustellakseen menettelyn asianmukaisuudesta.
Pankkilautakunta on aiemmin arvioinut useita samankaltaisia tapauksia kuten FINE-051519, FINE-052327, FINE-051381 ja FINE-049778. Lautakunta on esimerkiksi 16.01.2023 käsitellyt tapauksen FINE-051381, jossa asiakas oli ostajana esiintyneen huijarin lähettämän linkin kautta päätynyt postin sivuilta näyttäneille valesivuille ja syöttänyt sinne kortti- ja pankkitunnustietojaan sekä pankin asiakkaalle tekstiviestitse lähettämän pankin mobiilisovelluksen aktivoinnin edellyttämän koodin. Asiakkaan syötettyä kortti- ja pankkitunnustietojaan hänelle entuudestaan tuntemattoman henkilön lähettämän linkin kautta avautuneilla sivuilla Pankkilautakunta katsoi asiakkaan menetelleen huolimattomasti vakavaa varomattomuutta osoittavalla tavalla. Edelleen lautakunta katsoi, että saatuaan tavanomaisesta pankkitunnuksilla tehtävästä kirjautumista koskevasta tilanteesta poikkeavalla tavalla pankin mobiilisovelluksen vahvistuskoodin sisältäneen tekstiviestin asiakkaan olisi tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuille. Pankkilautakunta katsoi asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavan asiakkaan ja pankin välisessä suhteessa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.
FINEllä ei ole syytä arvioida asiakkaan tuottamusta aiemmasta ratkaisukäytännöstä poikkeavasti nyt käsillä olevassa tapauksessa, jossa pankin lähettämä vahvistuskoodin sisältänyt tekstiviesti on aiempaa informatiivisempi. Näin ollen FINE katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten lähtökohtaisesti vastaavaan täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.
Pankin menettelystä
Asiassa tulee vielä arvioitavaksi, vastaako pankki asiakkaalle oikeudettomista maksuista aiheutuneesta vahingosta sillä perusteella, että pankki olisi laiminlyönyt velvollisuuksiaan estää maksut taikka rajoittaa vahinkoa ottamalla yhteyttä maksunsaajiin.
Tässä tapauksessa maksut on tehty kortin tiedoin ja vahvistettu vahvalla sähköisellä tunnistautumisella.
Pankkilautakunta on ratkaisukäytännössään vakiintuneesti todennut, että pankeilla on oltava maksupalvelusääntelyn perusteella käytössään maksutapahtumien valvontamekanismit, joiden avulla ne voivat havaita oikeudettomat ja petolliset maksutapahtumat. Tällä velvollisuudella ei ole kuitenkaan katsottu olevan suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta. Em. viitaten FINE katsoo, että pankki ei ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa yksinomaan sillä perusteella, ettei se ole onnistunut havaitsemaan ja estämään ko. oikeudettomia korttimaksuja niiden tekohetkellä.
Pankin velvollisuutta olla yhteydessä yksittäisiin korttimaksunsaajiin on arvioitu Pankkilautakunnan antamassa tuoreessa ratkaisussa FINE-68779-Y1J0F (ratkaistu 6.10.2025). Pankkilautakunta katsoi, että pankin ja asiakkaan väliseen pankkiasiakkuutta koskevaan sopimussuhteeseen liittyen pankilla on hyvään pankkitapaan, sopimusoikeudelliseen lojaliteettivelvollisuuteen ja pankin asemaan maksupalveluntarjoajana perustuva velvollisuus rikoksesta aiheutuvien vahinkojen rajoittamiseksi opastaa asiakasta varojen katoamisen estämiseksi tehtävistä toimista ja myös toimia rikoksesta aiheutuvien vahinkojen rajoittamiseksi. Lautakunta kuitenkin katsoi, ettei pankin voida kuitenkaan edellyttää ottavan yhteyttä suoraan satunnaisiin maksunsaajiin. Lautakunta totesi pankin velvollisuuden rajoittuvan lähtökohtaisesti asiakkaan pyynnöstä tehtäviin yhteydenottoihin maksunsaajien pankkeihin. Tilisiirtojen kohdalla tämä voi tarkoittaa lähinnä petosperusteiden maksunpalautuspyynnön tekemistä maksunsaajan pankille ja korttimaksun kohdalla ns. chargebackin tekemistä.
Tässä tapauksessa asiakas on kertonut olleensa yhteydessä maksunsaajiin, ja asiakkaan mukaan yritykset olisivat palauttaneet rahat, jos pankki olisi ollut heihin yhteydessä. Asiakas on toimittanut näytöksi saamansa vastaukset.
Pankki on vedonnut siihen, että pankki ei voi tehdä chargeback-pyyntöä tilanteessa, jossa vahvaa tunnistamista on edellytetty, koska tällöin korttitapahtuma on välitetty korttiyhtiön vaatimusten mukaisesti, eikä kauppiaalla ole velvollisuutta palauttaa maksua.
FINE toteaa asiakkaan toimittaman näytön osalta, ettei vastauksissa ole luvattu palauttaa varoja, vaan on todettu lähinnä se, etteivät palveluntarjoajat voi antaa asiakkaalle tietoa omista asiakkaistaan edes tällaisessa tapauksessa. Matkatoimisto on ilmoittanut antavansa tietoa vain poliisille tai pankille. Myös lentoyhtiö toteaa, ettei voi antaa nimitietoja matkustajista, ja ohjaa asiakkaan olemaan yhteydessä omaan pankkiinsa. Lisäksi lentoyhtiö kiistää oman vastuunsa tapauksessa.
Ottaen huomioon kansainvälisten korttijärjestelmien toimintaperiaatteet ja sen, että tilanteissa, joissa ei ole virhettä maksunsaajan puolella, maksunsaajat eivät lähtökohtaisesti ole velvollisia palauttamaan vahvaa sähköistä tunnistamista käyttäen tehtyjä maksuja, FINE katsoo asiassa jääneen näyttämättä, että pankin chargeback-pyynnöllä/yhteydenotolla maksunsaajan pankkiin olisi ollut vaikutusta vahingon lopulliseen määrään.
Prosessin aikana kertyneet luottokustannukset
FINE on katsonut asiakkaan vastaavan oikeudettomista maksutapahtumista täysimääräisesti asiakkaan ja pankin välissä suhteessa. Näin ollen FINEllä ei ole perusteita suosittaa hyvitystä myöskään oikeudettomasti luotolta siirretyn ja korttimaksuihin käytetyn summan aiheuttamien korkojen ja kulujen osalta.
Lopputulos
FINE ei suosita asiassa hyvitystä.
FINE
Vakuutus- ja rahoitusneuvonta
Ratkaisija Hidén
Esittelijä Tykkä