Haku

FINE-78178-L4Z1B3

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-78178-L4Z1B3 (2026)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 17.03.2026

Miten vastuu asiakkaan verkkopankissa tehdyistä ja asiakkaan puhelimessa olevalla pankin tunnistussovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Miten vastuunjakoon vaikuttaa se, että asiakkaan korttiluotolta on tehty asiakkaan tilille ennen sieltä ulkopuoliselle tehtyä tilisiirtoa siirto, jonka yhteydessä ei ole edellytetty vahvaa tunnistamista? Verkkourkinta. Maksajan suostumus maksutapahtumalle. Sisäiset siirrot. Vahva tunnistaminen.

Tapahtumatiedot

Asiakas on joutunut pankin turvallisuuspalvelun nimissä tehdyn huijauspuhelun uhriksi 16.6.2025.

Asiakkaan verkkopankkiin on kirjauduttu 16.6.2025 klo 11:27, jolloin rikolliset ovat päässeet asiakkaan verkkopankkiin. Rikolliset tekivät ensin 2.500 euron tilisiirron asiakkaan omien käyttötilien välillä ja 8.000 euron omien tilien välisen noston asiakkaan säästötililtä asiakkaan omalle käyttötilille, jolla oli ennen omien tilien välisiä siirtoja 3.136,18 euroa. Asiakkaan omien tilien välisten siirtojen yhteydessä pankki ei ole edellyttänyt maksajan vahvaa tunnistamista.

Tämän jälkeen rikolliset tekivät klo 11:32–11:40 kolme maksua Tanskaan summaltaan 987,22 euroa, 4.782,45 euroa ja 5.889,74 euroa, yhteensä 11.659,41 euroa. Nämä maksut on vahvistettu asiakkaan puhelimelle 5.10.2022 käyttöön otetulla pankin tunnistussovelluksella.

Asiakkaan pankkitunnukset suljettiin 24.6.2025 asiakkaan oltua yhteydessä pankkiin.

Asiakkaan valitus

Asiakas on kertonut saaneensa pankin turvapalvelun nimissä tehdyn puhelun 16.6.2025. Puhelu on tullut +385-alkuisesta numerosta, jonka asiakas katsoi tulevan suomalaisesta +358-alkuisesta numerosta. Puhelussa automaattiviesti kysyi, oliko asiakas nostanut tai siirtänyt 350 euroa Puolassa, ja pyysi painamaan numeroa 1, jos ei ollut. Asiakas painoi ja puhelu siirtyi pankin asiakaspalvelijana esiintyneelle ihmiselle. ”Asiakaspalvelija” kertoi, että asiakkaan tililtä oli yritetty siirtää 350 euroa ulkomailla, minkä vuoksi he varmistavat, onko asiakas itse tehnyt siirron. Koska asiakas ei ollut tällaista tehnyt, soittaja sanoi, että pankkitunnukset olisi viisainta sulkea heti. Soittaja pyysi asiakasta kertomaan verkkopankkitunnuksen ja syntymäajan sulkemista varten. Soittaja myös pyysi poistamaan puhelun aikana puhelimesta pankin verkkopankkisovelluksen, minkä asiakas teki. Soittaja lupasi lähettää uudet pankkitunnukset postissa viikon sisällä. Asiakas soitti pankkiin 24.6.2025 tunnuksista, jolloin hän sai kuulla, että aikaisempi puhelu ei ollut oikeasti tullut pankista eikä pankkitunnuksia ollut suljettu. Pankkitunnukset suljettiin tällöin.

Asiakas on hyvin tietoinen sähköposti-, viesti- ja verkkopalveluhuijauksista, mutta tällaisista huijauksista hän ei ollut aiemmin kuullut eikä pankki ollut niistä varoittanutkaan. Asiakas oli aikaisemmin saanut oikean puhelun pankista, kun hänen puolisonsa tiliä oli yritetty käyttää Italiassa, vaikka puoliso ei siellä ollut. Tämänkin perusteella puhelu oli todella oikean kuuloinen eikä asiakkaalla käynyt mielessäkään, että kyseessä olisi huijaus.

Pankin mukaan asiakas on itse hyväksynyt maksut pankin tunnistussovelluksella, jossa on näytetty maksujen tiedot. Asiakas on täysin varma, ettei ole missään vaiheessa vahvistanut siirtoja. Asiakas on hyvin tarkka ja tarkistaa aina tilisiirrot maksaessaan laskuja tunnistussovelluksella. Asiakas tunnistautui sillä loppuvaiheessa, kun soittaja pyysi, jotta verkkopankkitunnukset saadaan suljettua, mutta tunnistautumisessa ei näkynyt ”haluan maksaa” -rimpsua.

Säästötili ei ole asiakkaan päivittäisessä käytössä oleva käyttötili. Pankki ei edellytä erillistä vahvaa tunnistamista asiakkaan omien tilien väliselle maksutapahtumalle. Jos tällainen tunnistaminen olisi edellytetty, asiakas olisi varmasti siinä vaiheessa huomannut, ettei nyt ole kysymyksessä käyttötili, jonka tunnukset suljetaan sen vuoksi, että sitä on yritetty käyttää/käytetty.

Asiakas vaatii pankkia korvaamaan hänen käyttötililtään tehdyt maksut, yhteensä 11.659,41 euroa.

Pankin vastine

Riidanalainen maksutapahtuma johtuu tietojenkalastelusta. Asiakkaan erehtyminen maksun todellisesta luonteesta on erittäin ikävää ja pankki pahoittelee asi­akkaalle tapahtunutta. Erehdys ei kuitenkaan siirrä vastuuta maksutapahtumasta pankille, kun maksutapahtuma on tehty asiakkaan suostumuksella käyt­täen maksupalvelulaissa tarkoitettua vahvaa tunnistamista. Riidanalainen maksu jää asiakkaan vastuulle, sillä se on vahvistettu pankin tunnistussovelluksella, jossa olennaiset maksutiedot on näytetty asiakkaalle. Kun asiakas antaa vahvistuspyynnön perusteella pankille suostumuksensa maksun veloittamiseen, maksu ei ole oikeudeton maksupalvelulain 38 §:n mukaan, vaikka jälkikäteen osoittautuisikin, että maksu liittyy tietojenkalasteluun ja verkkorikollisuuteen. Siksi pankilla ei ole velvollisuutta korvata asiakkaalle vahinkoa, joka on aiheu­tunut riidan kohteena olevasta maksusta.

Omien tilien väliset siirrot

Pankki katsoo, ettei omien tilien välisellä siirrolla ole syy-yhteyttä asiakkaan kär­simään vahinkoon. Vahinko on aiheutunut asiakkaan suostumuksella tehdystä maksutapahtumasta, jota ei ole pidettävä oikeudettomana. Syy-yhteyden tulee olla myös oikeudellisesti riittävä. Syy-yhteyden katkeamisen kannalta merkityk­sellinen väliin tuleva tekijä voi olla myös vahinkoa kärsineen oma käyttäytymi­nen tai passiivisuus esimerkiksi tilanteessa, jossa hän pystyisi omilla toimillaan estämään vahingon syntymisen. Sisäinen siirto ei ole syy-yhteydessä, tai aina­kaan riittävässä syy-yhteydessä, siihen, että varat poistuivat asiakkaan tililtä kol­mannelle. Varat poistuivat asiakkaan tililtä vasta, kun asiakas itse vahvisti mak­sun.

Pankki ei jaa Pankkilautakunnan näkemystä aiemman ratkaisun FINE-075040 perustetuista siltä osin, kun lautakunta on katsonut pankin vastaavan vahingon siitä määrästä, joka on siirretty verkkopankin sisäisenä siirtona asiakkaan vallinnassa olevien tilien välillä ilman maksajan vahvaa tunnistamista. Pankkilautakunta on todennut kyseisessä ratkaisussaan, että lähtökohtaisesti asiakas vastaa suostumuksellaan tehdystä maksutapahtumasta aiheutuneesta vahingosta asi­akkaan ja pankin välisessä suhteessa. Lautakunta on kuitenkin arvioinut kokonaisselvityksen perusteella, että omien tilien välinen siirto on vaikuttanut aiheu­tuneen vahingon määrään ja että pankki vastaa vahingosta tältä osin. Pankin vastuuseen liittyvät juridiset perustelut jäävät lautakunnan ratkaisussa epäsel­viksi ja lautakunta asetti vastuun oikeudettomasta käytöstä kyseistä maksutapahtumaa pidemmälle.

Nyt arvioitavassa tapauksessa omien tilien välisen siirron on oikeudettomasti tehnyt huijari, mutta asiakas ei ole siirron johdosta menettänyt varoja. Omien ti­lien välinen siirto tapahtuu nimenomaisesti vain asiakkaan vallinnassa olevien tilien, eli sellaisten tilien välillä, joissa asiakas on tilinomistaja tai käyttöoikeudenhaltija. Tämä on peruste sille, että omien tilien väliset siirrot ilman maksajan vahvaa tunnistamista on ylipäätään voitu mahdollistaa sekä sääntelyllisesti että käytännössä. Siirrosta omien tilien välillä ei lähtökohtaisesti voi aiheutua asiak­kaalle vahinkoa, koska asiakkaan varallisuusasema ei muutu.

Tapaukseen liittyviä maksutapahtumia tulee arvioida maksupalvelulain 62 §:n nojalla itsenäisinä tapahtumina, ei kokonaisuutena. Pankin vastuu ei voi jatkua yksittäistä maksutapahtumaa pidemmälle mahdollisiin myöhempiin maksutapahtumiin. Näistä jokaisesta edellytetään uusi ja erillinen vahva tunnistaminen, ja jokaista uutta maksutapahtumaa tulee käsitellä erillisenä tapahtumana omine vastuukysymyksineen. Jokaisesta uudesta maksutapahtumasta tulee arvioida, onko käyttäjä antanut sille suostumuksensa tai toissijaisesti toiminut huolimat­tomasti tai törkeän huolimattomasti. Jos rahamäärää siirretään tililtä toiselle, se, että edeltävä maksutapahtuma on ollut oikeudeton, ei vaikuta jälkimmäisen siir­ron (eli maksutapahtuman) arviointiin. Jälkimmäisen maksutapahtuman osalta on erikseen kysyttävä, onko käyttäjä antanut siihen suostumuksensa — jos kyllä, jälkimmäistä maksutapahtumaa ei pidetä oikeudettomana.

Vahingon syntymisen välttämätön edellytys on ollut se, että kertaalleen omien tilien välillä siirretyt varat siirretään pois asiakkaan hallussa olevalta tililtä asiak­kaan itse pankin tunnistussovelluksellaan antaman suostumuksen perusteella. Tästä syystä pankki katsoo, että pankki ei ole miltään osin vastuussa maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta, koska pankki palveluntarjoajana on nimenomaisesti edellyttänyt vahvaa tunnistautumista sen maksutapahtuman osalta, jolla varat on siirretty asiakkaan tililtä huijarille. Jos huijaus olisi jostain syystä keskeytynyt omien tilien välisen siirron jälkeen, ei mitään va­hinkoa olisi myöskään aiheutunut.

Vahingon määrän pieneneminen tai kokonaan toteutumatta jääminen olisi edel­lyttänyt sitä, että huijari ei olisi lainkaan saanut haltuunsa asiakkaan henkilökoh­taisia tunnistetietoja ja että asiakas ei olisi itse vahvistanut huijarin kirjautumista asiakkaan verkkopankkiin tai ainakaan huijarin luomaa maksutapahtumaa. Va­hingon välttämättömiä edellytyksiä, conditio sine qua non ja oikeudellisesti re­levantteja tapahtumia ovat edellä mainitut toimet eli asiakkaasta itsestään riip­puva ja hänen kontrolloitavissaan oleva toiminta.

Asiakas on itse mahdollistanut vahingon syntymiseen luovuttamalla tunnistautumistietonsa huijareille ja hyväksymällä tämän jälkeen vahvistuspyyntöjä tunnistussovelluksessaan. Vastoin Pankkilautakunnan em. aiemmassa ratkaisussaan ottamaa kantaa, pankki katsoo jäävän näyttämättä, mikä merkitys vahvalla tunnistamisella olisi ollut omien tilien välisen siirron toteutumisen ja siten ta­pauksessa kokonaisuudessaan syntyneen vahingon kannalta. Huijaustilanteessa asiakas on ollut valmis hyväksymään hänelle osoitetut vahvistuspyynnöt, eli kirjautumisen verkkopankkiin ja maksutapahtuman tililtään vieraalle tilille. Vahvan tunnistautumisen käytön suorana seurauksena ei siten voida pitää omien tilien välisen siirron toteutumatta jäämistä eli asiakkaalle aiheutuneen va­hingon rajautumista.

Yhteenvetona pankki toteaa, että korvausvelvollisuuden edellytyksenä on vastuuperuste, kyseiseen perusteeseen liittyvä vahinko ja vahingon syy-yhteys korvausvastuuseen johtavaan tekoon, toimintaan tai laiminlyöntiin. Tapauksessa pankin vastuuperuste on maksupalvelulain 62 §:n 3 momentin 4 kohdan mukai­nen palvelutarjoajan vastuu maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistautumista. Kyseiseen perusteeseen liittyvä vahinkoedellytys puuttuu, koska asiakkaalle ei ole aiheu­tunut mitään varallisuusvahinkoa omien tilien välisen siirron toteuttamisella. Asiakkaan laiminlyönti luovuttaessaan henkilökohtaisia tunnistetietojaan huijareille ja maksun hyväksyminen ovat välttämättömässä syy-yhteydessä aiheutuneeseen vahinkoon, ei omien tilien välinen siirto. Vahingon määrä on ollut riip­puvainen siitä, minkä suuruisen maksutapahtuman asiakas on vahvistanut teh­täväksi tililtään ulkopuoliselle taholle.

Asiakkaan joutuminen petoksen uhriksi on erittäin valitettavaa. Pankin on kuitenkin kohdeltava kaikkia samassa tilanteessa olevia asiakkaitaan yhdenvertaisesti. Voimassa olevasta lainsäädännöstä johtuu, että tietojenkalastelutapaukset, joissa asiakas itse hyväksyy maksun, eivät kuulu pankin taloudellisen vastuun piiriin.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankkitunnuksilla käytettävien palvelujen yleiset sopimusehdot
- Pankin euromaksualueella välitettävien euromaksujen yleiset ehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. tilisiirroille vai onko maksutapahtumia pidettävä oikeudettomina. Lisäksi lautakunnan on arvioitava sitä, mikä merkitys on vahingon aiheutumisen ja sen määrän osalta sillä, että asiakkaan tilien välillä on voitu tehdä oikeudettomia tilisiirtoja, joissa ei ole edellytetty maksajan vahvaa tunnistamista.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulaki

Maksupalvelulain (290/2010) 38 §:n 1 momentin mukaan:

”Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.”

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) (898/2017) mukaan:

”Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.”

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta) 1 momentin (898/2017) mukaan:

”Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.”

Lain 72 §:n (Todistustaakka) (898/2017) mukaan:

”Jos maksupalvelun käyttäjä kiistää antaneensa suostumuksensa maksutapahtuman toteuttamiseen, hänen palveluntarjoajansa on osoitettava, että suostumus on annettu sovitulla tavalla. Jos maksupalvelun käyttäjä väittää, että maksutapahtumaa ei ole toteutettu asianmukaisesti, palveluntarjoajan on osoitettava, että maksutapahtuma on kirjattu ja merkitty tileille oikein ja ettei maksutapahtuman käsittelyyn ole vaikuttanut tekninen vika tai muu häiriö.

Jos maksutapahtuma on käynnistetty maksutoimeksiantopalvelun tarjoajan välityksellä, tällä on todistustaakka 1 momentissa tarkoitetuista seikoista oman suorituksensa osalta ja siitä, että maksajan maksutiliä pitävä palveluntarjoaja on vastaanottanut maksutoimeksiannon.

Se seikka, että palveluntarjoaja voi näyttää, että suostumus maksutapahtuman toteuttamiseen on annettu maksuvälineellä, ei välttämättä yksin riitä osoittamaan, että maksuvälineen haltija on antanut suostumuksensa maksutapahtuman toteuttamiseen, toiminut petollisesti taikka laiminlyönyt tahallisesti tai törkeän huolimattomasti 53 ja 54 §:ssä säädettyjä velvollisuuksiaan.”

Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 5 momentin (575/2020) mukaan:

”Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1) käyttää maksutiliään tietoverkon välityksellä;
2) käynnistää sähköisen maksutapahtuman;
3) toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
[…]
Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.”

Maksupalveludirektiivin tekniset sääntelystandardit

Komission delegoidun asetuksen (EU) 2018/389 (PSD2 RTS), joka koskee maksupalveludirektiivin (PSD2) teknisiä sääntelystandardeja, 15 artiklan (Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot) mukaan:

”Edellä 2 artiklassa säädettyjen vaatimusten täyttyessä on sallittava, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.”

Pankin ehdot

Pankin pankkitunnuksilla käytettävien palvelujen yleisten sopimusehtojen (jäljempänä pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Tunnistautuminen-kohdan mukaan:

”Verkkopankkipalveluun Verkkopankkipalvelujen käyttämiseksi asiakas tunnistautuu ilmoittamalla pankille Verkkopankkipalveluun kirjautuessaan tunnistautumistietonsa. Asiakkaan kirjauduttua Verkkopankkipalveluun asiakas ei saa antaa avattua palveluyhteyttä muun tahon käytettäväksi.

Tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille Verkkopankkipalvelun edellyttämällä tavalla.”

Pankkitunnusehtojen Yleistä tunnistautumistietojen säilyttämisestä ja asiakkaan vastuusta -kohdan mukaan:

”Kuluttaja-asiakkaan tunnistautumistiedot ovat henkilökohtaiset, eikä niitä saa osittainkaan luovuttaa sivullisen tietoon tai haltuun. Kuluttaja-asiakas ei saa antaa valtuutusta tunnistautumistietojen käyttämiseen.
[…]
Asiakas sitoutuu säilyttämään tunnistautumistiedot huolellisesti ja varmistamaan säännöllisesti, että tunnistautumistiedot ovat tallessa. Asiakkaan tulee huolehtia, etteivät tunnistautumistiedot joudu osittainkaan sivullisen tietoon tai haltuun. Asiakas sitoutuu säilyttämään käyttäjätunnuksesta, tunnistautumislaitteesta, [pankin tunnistussovellus] -sovelluksesta, salasanasta, PIN-koodista tai muista pankin hyväksymistä tunnistautumistavoista koostuvat tunnistautumistiedot erillään toisistaan. Tunnistautumistietoja ei saa kopioida, tallentaa tai toisintaa muutoin kuin pankin järjestelmään tai pankin hyväksymällä tavalla. […]”

Asian arviointi

Pankin asiassa antamien selvitysten mukaan rikollisten kirjautuminen asiakkaan verkkopankkiin 16.6.2025 klo 11:27 sekä kolme tilisiirtoa tanskalaiselle tilille on vahvistettu klo 11:32–11:40 asiakkaan omalla pankin tunnistussovelluksella, joka on otettu käyttöön 5.10.2022. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo, että asiakkaan on täytynyt tultuaan puhelimessa rikollisten harhaanjohtamaksi itse vahvistaa rikollisten kirjautumisen verkkopankkiinsa sekä tilisiirrot puhelimessaan olleella pankin tunnistussovelluksella. Tunnistussovelluksen tilisiirtoja koskevissa vahvistuspyynnöissä on ennen vahvistuksen antamista näkynyt verkkopankin pyytävän vahvistusta seuraavilla tiedoilla: teksti ”Haluan maksaa”, maksun summa, saaja, maksunsaajan tilinumero, päiväys ja maksajan tilinumero.

Pankkilautakunta on ratkaisukäytännössään vakiintuneesti katsonut, että tapauksissa, joissa rikoksen uhri on huijattuna tullut itse hyväksyneeksi riidanalaiset maksut esimerkiksi omassa puhelimessaan olevalla pankin mobiilisovelluksella ja sovelluksessa on ennen vahvistuksen antamista näkynyt vahvistettavan maksun tiedot, pankki ei ole velvollinen hyvittämään asiassa aiheutunutta vahinkoa asiakkaalle. Näissä tapauksissa on katsottu, että vaikka asiakas on antanut maksujen vahvistukset rikollisten harhaan johtamana, on hän kuitenkin itse antanut maksuille maksupalvelulain 38 §:ssä ja sovellettavissa ehdoissa tarkoitetun suostumuksensa, eivätkä kyseessä olevat maksutapahtumat tällöin ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia. Tämän vuoksi käsillä ei ole myöskään ollut perusteita pankin vastuulle maksuista asiakkaalle aiheutuneesta vahingosta.

Pankkilautakunnalla ei ole syytä arvioida nyt käsiteltävänä olevaa tapausta eri tavalla. Vaikka asiakas on myös tässä tapauksessa antanut em. vahvistukset tilisiirroille tultuaan rikollisten harhaan johtamaksi, tällä ei ole merkitystä asiakkaan ja pankin välisessä suhteessa. Pankkilautakunta katsoo vakiintuneen ratkaisukäytäntönsä mukaisesti, että asiakas on antanut maksutapahtumille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtuman toteuttamiseen ja pankkitunnusehtojen mukaisen suostumuksensa pankille maksutapahtumien veloittamiselle tililtään. Näin ollen lautakunta katsoo, etteivät kyseessä olevat maksutapahtumat ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia ja ettei käsillä siten lähtökohtaisesti ole perusteita pankin vastuulle tilisiirroista asiakkaalle aiheutuneesta vahingosta.

Verkkopankin sisällä tehtyjen oikeudettomien tilisiirtojen tekeminen ilman vahvaa tunnistamista

Maksupalvelulain 8 §:ssä määritetään, mitä laissa tarkoitetaan vahvalla tunnistamisella, jota lain 85 b § edellyttää palveluntarjoajan käyttävän, jos maksaja käyttää maksutiliään tietoverkon välityksellä tai toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski. Edelleen lain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Vahvan tunnistamisen on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin (EU) 2015/2366 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa (RTS). Komission delegoidun asetuksen (EU) 2018/389 III luvussa luetellaan asiakkaan vahvaa tunnistamista koskevan periaatteen poikkeuksista.

Em. asetuksen III luvun 15 artiklan, joka koskee saman luonnollisen henkilön hallussa olevien tilien välisiä tilisiirtoja, mukaan on sallittavaa, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.

Asiassa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista siinä yhteydessä, kun rikolliset ovat tehneet asiakkaan käyttötilille 2.500 euron siirron asiakkaan toiselta käyttötililtä ja 8.000 euron siirron asiakkaan säästötililtä.

Pankkilautakunta toteaa maksupalveluja ja vahvaa tunnistamista koskevan sääntelyn sallivan palveluntarjoajien tietyissä poikkeustilanteissa poikkeavan vahvan tunnistamisen vaatimuksesta ja tässä tapauksessa lautakunta katsoo, että pankki on voinut sallia ko. verkkopankin sisäisen siirron tapahtuvan ilman vahvaa tunnistamista.

Vaikka sääntely tietyissä poikkeustilanteissa sallii sen, ettei maksupalvelujentarjoajan ole edellytettävä maksujen yhteydessä maksajan vahvaa tunnistamista, ei maksupalvelun käyttäjä maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan kuitenkaan vastaa maksuvälineensä oikeudettomasta käytöstä, jos maksupalveluntarjoaja ei ole maksuvälineen oikeudettoman käytön yhteydessä edellyttänyt maksajan vahvaa tunnistamista. Näin ollen salliessaan maksutapahtumia tehtävän ilman maksajan vahvaa tunnistamista ottaa pankki vastuulleen riskin maksuvälineen oikeudettomasta käytöstä.

Tässä tapauksessa verkkopankin sisällä tehdyt tilisiirrot ovat rikollisten oikeudettomasti tekemiä ja koska pankki on sallinut tilisiirtojen tekemisen ilman maksajan vahvaa tunnistamista, vastaa pankki näistä tilisiirroista.

Pankkilautakunta toteaa, että asiassa aiheutunut 11.659,41 euron vahinko on tässä tapauksessa realisoitunut, kun asiakas on edellä esitetyn tavoin antanut maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa kolmelle maksutapahtuman toteuttamiselle, minkä johdosta asiakas lähtökohtaisesti vastaa maksuista aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Tapauksessa saadun kokonaisselvityksen perusteella Pankkilautakunta kuitenkin katsoo, että asiassa aiheutuneen vahingon määrään on vaikuttanut ennen em. maksuja tehdyt verkkopankin sisäiset 10.500 euron siirrot ja se, että pankki on sallinut näiden oikeudettomien siirtojen tekemisen ilman vahvaa tunnistamista. Koska pankki on sallinut sisäisten tilisiirtojen tekemisen ilman vahvaa tunnistamista ja siirrot ovat oikeudettomia, vastaa pankki asiassa aiheutuneesta vahingosta siltä osin kuin ko. siirrot ovat asiassa aiheutuneen vahingon määrään vaikuttaneet.

Tanskalaiselle tilille tehdyt siirrot on tehty asiakkaan käyttötililtä, jolla oli 3.136,18 euroa ennen edellä mainittuja yhteensä 10.500 euron oikeudettomia sisäisiä tilisiirtoja. Ilman oikeudettomia ja pankin vastuulla olevia sisäisiä tilisiirtoja asiakkaan käyttötililtä olisi voitu tehdä vain 3.136,18 euron tilisiirrot. Näin ollen pankki vastaa asiassa aiheutuneesta vahingosta 3.136,18 euroa ylittävin osin.

Lopputulos

Pankkilautakunta katsoo asiakkaan antaneen ulkopuolisille tehdyille yhteissummaltaan 11.659,41 euron tilisiirroille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ja asiakkaan siten lähtökohtaisesti vastaavan tilisiirroista aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa. Edelleen lautakunta kuitenkin katsoo, että vahingon kokonaismäärään ovat vaikuttaneet 10.500 euron suuruiset tilisiirrot asiakkaan käytössä olevien tilien välillä. Koska pankki on sallinut kyseisten siirtojen tekemisen ilman vahvaa tunnistamista ja siirrot ovat oikeudettomia, vastaa pankki kyseisistä tilisiirroista ja asiassa aiheutuneesta vahingosta siltä osin kuin kyseiset siirrot ovat vahingon kokonaismäärää lisänneet.

Pankkilautakunta suosittaa pankkia hyvittämään asiakkaan tilille 8.523,23 euroa eli vahingon määrän 11.659,41 euroa vähennettynä asiakkaan käyttötilillä ennen sisäisiä siirtoja olleilla 3.136,18 euron varoilla.

Ratkaisusuositus syntyi äänestyksen jälkeen äänin 4–1. Eri mieltä olleen jäsen Piilon eriävä mielipide on liitteenä.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Heino

Jäsenet:
Atrila
Piilo
Punakivi
Tervonen

Jäsen Piilon eriävä mielipide

Olen eri mieltä Pankkilautakunnan enemmistön ratkaisusuosituksen perusteluista ja lopputuloksesta.

Asian kannalta merkitykselliset lainsäännökset ovat maksupalvelulain 38 § (Maksajan suostumus maksutapahtuman toteuttamiseen), maksupalvelulain 85 c §:n 1 ja 5 momentti (Tunnistaminen), komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artikla (Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot), maksupalvelulain 62 §:n 3 momentin 4 kohta (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) sekä maksupalvelulain 63 §:n 1 momentti (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta).

Tapauksessa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista rikollisen tekemiin asiakkaan omien tilien välisien siirtojen tekemiseen. Tilisiirrot on tehty asiakkaan omien tilien välillä eli asiakas on ollut kaikkien kolmen tilin omistajana. Omien tilien välillä tehtyjen siirtojen jälkeen varat ovat edelleen olleet asiakkaan omalla tilillä ja hän on voinut määrätä varoista. Varsinainen vahinko asiakkaalle on tapahtunut, kun asiakkaan tililtä on tehty kolme tilisiirtoa ulkopuoliselle saajalle. Nyt puheena olevassa tapauksessa asiakas on vahvistanut tilisiirrot ulkopuoliselle tunnistussovelluksellaan ja antanut näin maksupalvelulain mukaisen suostumuksensa maksuille, joilla varat siirrettiin pois hänen hallinnastaan ulkopuoliselle. Mikäli asiakas ei olisi antanut suostumustaan ulkopuolisille tehtyihin tilisiirtoihin, ei vahinkoa olisi syntynyt. Syy-yhteyttä omien tilien välisillä siirroilla ei ole varsinaiseen vahinkoon ja näin ollen omien tilien välillä tehdyistä siirroista ei ole aiheutunut asiakkaalle korvattavaa vahinkoa.

Asiakkaalle aiheutunut vahinko ei ole seurausta omien tilien välisistä oikeudettomista siirroista, vaan vahinko on aiheutunut asiakkaan omalla maksupalvelulain mukaisilla suostumuksilla toteutetuista tilisiirroista, jotka eivät maksupalvelulain mukaan ole olleet maksuvälineen oikeudetonta käyttöä.

Lopputulos

Katson, että vahinko on aiheutunut maksupalvelulain 38 §:n mukaisella asiakkaan suostumuksella tehtyjen maksutapahtumien seurauksena, joita ei ole pidettävä maksupalvelulain mukaan oikeudettomina. Asiakkaan omien tilien välillä ilman vahvaa tunnistamista tehdyt omien tilien väliset siirrot eivät ole syy-yhteydessä asiakkaan myöhemmin vahvistamilla siirroilla hänelle aiheutuneeseen vahinkoon.

Edellä todetuin perustein katson, että pankki ei vastaa asiassa aiheutuneesta vahingosta miltään osin, eikä Pankkilautakunnan tulisi suosittaa pankkia korvaamaan 8.523,23 euroa eli kokonaisvahingon määrä 11.659,41 euroa vähennettynä asiakkaan käyttötilillä ennen sisäisiä siirtoja olleilla 3.136,18 euron varoilla.

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä