Haku

FINE-79022-Y0P9Z6

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-79022-Y0P9Z6 (2026)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 17.03.2026

Miten vastuu asiakkaan korttitiedoin verkossa tehdystä ja uudella pankin mobiilisovelluksella vahvistetusta korttimaksusta jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Pankkitunnusten oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on ollut heinäkuussa 2025 myymässä tuotetta Facebookin Marketplace-palvelussa, kun hän on joutunut huijauksen ja verkkourkinnan uhriksi. Rikolliset ovat asiakkaalta 12.7.2025 saatuja tietoja hyväksi käyttäen ladanneet ja aktivoineet omalle laitteelleen käyttöönsä asiakkaan nimissä olevan pankin A mobiilisovelluksen, jolla he ovat voineet vahvistaa verkossa asiakkaan pankin A kortin korttitiedoin tehdyn 7.616,00 euron maksun. Myös asiakkaan tileiltä pankissa B oli tehty oikeudettomia maksuja.

Asiakkaan valitus

Asiakas pyytää, että FINE antaa asiassa suosituksen siitä, että pankin A on korvattava oikeudettomasta korttimaksusta asiakkaalle aiheutuneet taloudelliset vahingot täysimääräisesti.

Asiakkaalla oli Facebookin Marketplace -sivustolla ilmoitus uusien saappaiden myynnistä hintaan 50 euroa. 11.7.2025 asiakas sai tekstiviestillä ostajana esiintyneeltä Y:ltä kyselyn, ovatko saappaat vielä myynnissä. Asiakas on toimittanut kuvat viestinnästä ja Y:n facebook-profiilista, jonka asiakas tarkisti saatuaan ensimmäisen viestin. Viesteissä ei ole mitään sellaista, mikä edes viittaisi siihen, että kyse olisi rikollisesta toiminnasta.

12.7.2025 klo 14.17 Y kirjoitti tekstiviestillä ostavansa saappaat ja kysyi kumpi toimitustapa sopisi paremmin, posti vai matkahuolto. Y ilmoitti myös maksavansa saappaat etukäteen. Asiakas valitsi toimituksen postin kautta. Y vastasi maksavansa postikulut ja täyttävänsä postille lomakkeen sekä lähettävänsä sen kuvan, ja hän pyysi asiakkaan sähköpostiosoitetta. Asiakas lähetti hänelle sähköpostiosoitteensa ja Y viestitti maksavansa heti ja kertoi myös postin lähettävän asiakkaalle viestin, jotta rahat voidaan siirtää asiakkaan tilille.

Asiakas kysyi, milloin hän lähettäisi saappaat. Y kirjoitti, että hän oli suorittanut maksun ja odottaa asiakkaalta vahvistusta siitä, milloin hän saa rahat. Y lähetti myös osoitteensa ja kuvan pankin kautta maksetusta 60,90 euron summasta, joka sisälsi myös postikulut. Asiakas kirjoitti Y:lle, että odottaa viestiä postista ja lähettää sitten saappaat. Klo 17.52 Y kirjoitti antaneensa kaikki tiedot lähetystä varten ja kysyi, oliko asiakas jo saanut viestin postilta. Asiakas ei tuolloin ollut kotona, vaan rannalla ja tarkisti sähköpostinsa. Asiakkaalle oli tullut sähköposti postilta, josta on toimittanut kuvakaappauksen lautakunnalle.

Asiakas avasi postin viestin ja painoi kuvaketta "hyväksy maksu", josta avautui linkki "Support center" -nimiselle sivustolle jolla pyydettiin antamaan pankkikortin numero ja voimassaolopäivä sekä CVV-koodi. Asiakas kirjoitti pankin B debit-kortin numeron, voimassaolopäivän ja 3-numeroisen CVV-koodin. Asiakas ei kirjoittanut eikä antanut mitään muita tietoja eli täsmälleen samat tiedot, jotka annetaan kun tehdään maksuja verkossa tapahtuvista ostoista.

Asiakas oli kirjautuneena avaamaansa linkkiin ja sieltä tuli kysymys, onko asiakkaalla toisen pankin korttia ja asiakas kirjoitti siihen, että hänellä on kortti pankissa A. Seuraavaksi tuli pyyntö antaa pankin A kortin tiedot. Asiakkaalla ei ollut pankin A korttia mukanaan ja jätti sen pyynnön avoimeksi ja pyöräili kotiin. Kotonaan asiakas jatkoi pankin A korttitietojen syöttämistä. Tämän jälkeen näytti siltä, että tietoja "käsitellään" sivustolla ja sitten tuli viesti, jossa pyydettiin jotain 10 — numeroista "koodia". Asiakas on toimittanut kuvakaappauksen pyynnöstä.

Samaan aikaan asiakas sai pankilta A tekstiviestin klo 19.06 ja pankilta B klo 19.09. Pankin B viestissä luki, että asiakas olisi aktivoimassa uutta pankin B ID-sovellusta. Asiakas ihmetteli suuresti, miksi sai pankeilta tällaisia viestejä. Mitään uusia pankkiyhteyksiä asiakas ei ollut luonut.

Asiakas meni uudelleen auki olleeseen Support center -linkkiin, mutta ei ymmärtänyt linkin viestiä "koodin" antamisesta eikä kirjoittanut linkkiin mitään koodeja. Asiakas avasi taas pankkien viestit uudelleen ja näki, että pankki B oli lähettänyt numerosarjan, joka oli 10 numeroa pitkä ja pankin A viestissä oli 4-numeroinen numerosarja. Asiakas on täysin varma siitä, että ei antanut kumpaakaan numerosarjaa mihinkään eikä kirjoittanut näitä saamaansa linkkiin. Tästä hän on täysin varma, koska ei yksinkertaisesti edes ymmärtänyt sitä, miksi tällaisia numerosarjoja lähetettiin eikä ollut niitä itse tilannut.

Support center -linkkiin oli nyt tullut teksti siitä, että maksu oli hyväksytty onnistuneesti ja asiakas saisi rahat tililleen 4 tunnin kuluessa ja samassa ilmoitettiin, että kuriiri ottaa asiakkaaseen yhteyttä selvittääkseen tavaroiden toimituspaikan. Sivuston kuvakaappauksesta ilmenee, että asiakas ei ole kirjoittanut sivustolle mitään sen jälkeen, kun sivustolle tuli pyyntö aktivointikoodin kirjoittamisesta.

Asiakas lähetti klo 19.20 Y:lle vielä viestin siitä, että sai vahvistuksen maksusta, ja lähetti myös kuvan maksuvahvistuksesta. Y ei enää vastannut mitään. klo 22.40 asiakas avasin pankin A mobiilipankin tarkistaakseen, ovatko Y:n maksamat rahat tulleet tilille, ja järkyttyi suuresti huomattuaan, että tilillä oli katevaraus 7.616 eurolle Trip.com -nimiselle saajalle.

Asiakas soitti pankin B pankkikorttien sulkupalveluun välittömästi kello 22.41. Sulkupalvelu ilmoitti, että kortti ja verkkopalvelu on suljettu.  Asiakas etsi pankin A sulkupalvelun numeron ja soitti sinne klo 23.29 ja 23.31, mutta pankin edustaja ilmoitti, että kortti ja verkkopalvelu oli suljettu jo pankin B tekemän ilmoituksen johdosta.

Sunnuntaiaamuna 13.7.2025 klo 6.00 jälkeen asiakas teki sähköisen rikosilmoituksen poliisille, mutta tässä vaiheessa vain pankin A osalta, koska ei saanut tällöin vielä tietoja pankista B. Asiakas sai vasta maanantai 14.7. pankin B asiakaspalveluun soitettuaan tietää kaikkien rahojensa viedyn myös pankin B tileiltä. Kaikki tileiltä rikoksella anastetut varat ovat olleet asiakkaan säästöjä. Asiakas on juuri jäänyt eläkkeelle ja kaikki tulevaisuuden suunnitelmat ovat romahtaneet.

Oikeudelliset perustelut ratkaisusuositusten antamiseen

Asiakkaan menettely ei ole ollut miltään osin huolimatonta eikä hänen voida miltään osin katsoa suhtautuneen selvästi piittaamattomasti omien maksuvälineidensä hallintaan ja käyttöön liittyviin turvallisuusriskeihin. Asiakkaan menettely ei näin ollen myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Asiakas vakuuttaa täysin ehdottomasti sen, ettei hän ole antanut ulkopuoliselle taholle hänelle pankkien tekstiviesteillä lähetettyjä koodinumeroita eikä pankkitunnuksiaan tms. Myöskään asiakkaan saamien viestien ja linkkien ulkoasusta ei ole voinut päätellä niiden olevan ”epäaitoja” ja ulkomailla toimivien rikollisen lähettämiä. Viesteissä ei ole ollut mitään sellaista, minkä vuoksi asiakkaan olisi pitänyt epäillä yhteydenottojen asianmukaisuutta.

Asiassa on oikeudellisesti merkityksellisintä se, ettei asiakas ole antanut ulkopuolisille verkkopankkitunnuksiaan tai verkkopankkiin kirjautumiseen tai tunnistautumiseen asiakkaan käytössä olevia tietoja eikä pankkien lähettämiä koodeja. Nämä seikat asiakas pystyy asiassa todentamaan laatimillaan selvityksillä ja kirjallisilla todisteilla.

Asiakas pyytää Pankkilautakuntaa kiinnittämään huomiota toimittamaansa kuvakaappaukseen, joka todentaa sen, ettei asiakas ole antanut oikeudettomasti toimineelle taholle mitään pankin antamaa ”koodia” eikä mitään muitakaan tietoja kuin pankkikorttinsa numeron, voimassaolopäivän ja CVV-koodin eli tiedot, joita täysin yleisesti käytetään maksettaessa ostoksia sähköisesti. Todiste osoittaa se, että asiakkaalle on tullut viesti, jossa pyydetään antamaan ”tekstiviestikoodi”, mutta tätä koodia asiakas ei ole antanut ja tämä ”näkyy” kuvakaappauksessa. Seuraava viesti onkin sitten ollut se, että asiakasta kiitetään palvelujen käytöstä.

Pankin vastine

Asiakas on kertonut olleensa myymässä tuotetta Facebookin Marketplace-sivustolla. Hän on kertonut syöttäneensä sähköpostiinsa tulleesta linkistä avautuneelle sivustolle korttitietojaan, mutta kiistää luovuttaneensa verkkopankkitunnuksiaan.

Asiakkaan reklamoima tapahtuma on vahvistettu pankin mobiilisovelluksen tunnistamisella Visa Secure -palvelussa. Pankin mobiilisovellus, jolla tapahtuma on vahvistettu, on ladattu 12.7.2025 kello 19.08 laitteelle Vivo V23.

Pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja ainakin yksi satunnaisesti valittu tunnuslukutaulukon tunnusluku sekä tekstiviestillä lähetetty vahvistuskoodi. Pankilla ei ole tunnuslukutaulukoita tai niiden sisältämiä tunnuksia, jotka sivullinen voisi saada haltuunsa.

Pankki on lähettänyt sovelluksen käyttöönottoon tarvittavan vahvistuskoodin asiakkaan puhelinnumeroon tekstiviestillä 12.7.2025 kello 19.06. Viestin sisältö on ollut seuraava:
TÄRKEÄÄ! [Pankin] verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta uudessa laitteessa. VARO HUIJAUKSIA! ÄLÄ ANNA VAHVISTUSKOODIA KENELLEKÄÄN TAI MILLEKÄÄN VERKKOSIVUILLE. HUIJAUSSIVUSTOT VOIVAT NÄYTTÄÄ [PANKIN] SIVUILTA. Koodia käytetään vain [pankin mobiilisovellus] -sovelluksen käyttöönottoon. Jos et ole itse ottamassa [pankin mobiilisovellusta] käyttöön, älä käytä koodia ja poista tämä viesti. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi 4556 laitteesi [pankin mobiilisovellus] -sovellukseen. Jos epäilet antaneesi verkkopankkitunnuksesi huijaussivulle, soita heti sulkupalveluun xx xxxx xxxx (pvm/mpm). Terveisin [Pankki]

Pankin verkkopankkitunnukset ovat maksupalvelulain mukaiset maksuvälineet. Maksupalvelulain 62 §:n mukaan maksupalvelun käyttäjä vastaa maksuvälineen oikeudettomasta käytöstä täysimääräisesti, jos maksupalvelun käyttäjä on toiminut tahallisesti tai törkeän huolimattomasti.

Asiakas kiistää luovuttaneensa viestissä mainittua vahvistuskoodia kenellekään. Jotta pankin mobiilisovelluksen käyttöönotto uudella laitteella on ollut mahdollista, vahvistuskoodi on kuitenkin täytynyt palauttaa uudessa laitteessa olevaan pankin mobiilisovellukseen. Pankki ei mahdollisena muuta tapahtumainkulkua kuin sen, että asiakas on luovuttanut vahvistuskoodin ulkopuoliselle tekstiviestissä olleesta nimenomaisesta kiellosta huolimatta. Näin ollen pankki katsoo, että asiakas on toiminut maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti ja vastaavan oikeudettomista tapahtumista seuranneesta vahingosta täysimääräisesti.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Tutkintailmoitus (Ilmoitusaika 13.7.2025 klo 7.34)
- Pankin digitaalisia palveluja koskevat yleiset ehdot
- Kuvia asiakkaan puhelimen näytöstä, jolla näkyy asiakkaan viestittelyä ostajaehdokkaana esiintyneen tahon kanssa
- Kuva asiakkaan puhelimen näytöstä, jolla näkyy ostajaehdokkaana esiintyneen tahon Facebook-profiili
- Kuvia asiakkaan tietokoneen näytöstä, jolla näkyy verkkoselaimessa postin sivuilta näyttävät verkkosivut
- Kuva asiakkaan puhelimen näytöstä, jolla näkyy asiakkaan saamat Support Online -viestit
- Kuva asiakkaan puhelimen näytöstä, jolla näkyy asiakkaan pankilta A vastaanottama pankin A mobiilisovelluksen aktivointikoodin sisältävä tekstiviesti
- Kuva asiakkaan puhelimen näytöstä, jolla näkyy asiakkaan pankilta B vastaanottama pankin B tunnistussovelluksen aktivointikoodin sisältävä tekstiviesti
- Kuva asiakkaan puhelimen näytöstä, jolla näkyy asiakkaan pankin B sulkupalveluun tekemät soitot
- Tiliote asiakkaan tilistä pankissa B

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät-kohdan mukaan
[Pankin] tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Tunnistaminen [pankin] tunnistusvälineillä -kohdan mukaan
Tunnistusperiaatteemme ovat saatavilla verkkosivuillamme osoitteessa [pankki].fi ja asiakaspalvelupisteillämme.
Tunnistusvälineillämme voit tunnistautua myös kolmannen osapuolen palvelussa siten kuin tunnistuslaissa säädetään.
[…]

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, ulkopuoliseen palveluun tunnistautumiseen tai muun pankkiasian hoitamiseen, jos olet mennyt kirjautumissivulle hakukoneen tulosten kautta tai linkki kirjautumissivulle on lähetetty sinulle sähköpostilla, tekstiviestillä, sosiaalisessa mediassa tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Asian arviointi

Tapahtumienkulku

Pankki on tapauksessa esittänyt selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jota käyttäen ko. korttimaksu on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo tapauksessa riidattomaksi, että asiakas on päätynyt rikollisten postin nimissä lähettämässä sähköpostissa olleen linkin kautta rikollisten luomille postin verkkosivuilta näyttäville valesivuille, joille hän on syöttänyt kyseessä olevassa korttimaksussa käytetyn korttinsa tiedot. Asiassa saadun kokonaisselvityksen perusteella lautakunta katsoo lisäksi, että myös asiakkaan pankkitunnustietojen ja pankin asiakkaalle lähettämässä tekstiviestissä olleen pankin mobiilisovelluksen käyttöönoton edellyttämän koodin on täytynyt päätyä rikollisten tietoon siten, että asiakas on - asian kiistämisestään huolimatta - syöttänyt ne edellä mainituille valesivuille.

Tässä arviossaan lautakunta huomioi sen, että asiassa ei ole tullut esiin mitään muuta mahdollisuutta sille, miten em. tiedot olisivat voineet päätyä rikollisten tietoon, ja sen, että myös lukuisissa Pankkilautakunnan aiemmin käsittelemissä vastaavanlaisissa verkon myyntialustoilta alkaneissa huijaustapauksissa vastaavat tiedot ovat päätyneet rikollisille tällä tavoin valesivuille syöttämisen seurauksena. Vaikka asiakas on kiistänyt syöttäneensä pankkitunnustietojaan verkkosivuille, on hän kuitenkin kertonut olleensa kirjautuneena avaamaansa linkkiin, ja lautakunta katsookin todennäköiseksi, että asiakas on käyttänyt tunnuksiaan linkin kautta avautuneilla sivuilla tunnistautumistarkoituksessa. Asiakkaan pankilta tekstiviestitse saaman koodin osalta lautakunta toteaa selvyyden vuoksi katsovansa myös asiakkaan toimittamien kuvakaappausten viittaavan siihen, että hän on syöttänyt tekstiviestitse saamansa koodin valesivuille.

Valesivujen kautta saamiaan tietoja käyttäen rikolliset ovat voineet aktivoida käyttöönsä omalle Vivo V23 -laitteelleen pankin mobiilisovelluksen, jota käyttäen he ovat voineet vahvistaa riidanalaisen asiakkaan korttitiedoin tehdyn.

Asiakkaan menettelyn arviointi

Tapauksessa pankki ei ole vedonnut siihen, että asiakas olisi huolimattomuudestaan laiminlyönyt pankin korttiehtojen mukaisia velvollisuuksiaan syöttäessään korttitietojaan sähköpostissa olleen linkin kautta avautuneille sivuille. Näin ollen Pankkilautakunta jättää asiassa arvioimatta ja huomioimatta asiakkaan menettelyn tältä osin.

Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, ulkopuolisen palveluun tunnistautumiseen tai muun pankkiasian hoitamiseen mm., jos linkki kirjautumissivulle on lähetetty sähköpostilla, tekstiviestillä, sosiaalisessa mediassa tai muulla sähköisellä tavalla.

Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan sähköpostissa olleen linkin kautta avautuneilla sivuilla. Lautakunta katsoo asiakkaan varomattomuutta tässä korostavan sen, että asiakas on juuri ennen linkin sisältäneen sähköpostin vastaanottamista ilmoittanut hänelle entuudestaan tuntemattomalle henkilölle sähköpostiosoitteensa tämän pyynnöstä.

Pankkilautakunnalle ei ole toimitettu asiakkaan saamaa rikollisten postin nimissä hänelle lähettämää sähköpostia, jossa olleen linkin kautta hän on asioinut, mutta käsittelemiensä vastaavanlaisten verkon eri myyntialustoilta alkaneiden huijaustapausten perusteella lautakunta pitää todennäköisenä, että sekä sähköpostiviesti että viestistä avautuneet sivut ovat olleet aidon näköiset, ja ettei asiassa saamatta jääneen em. sähköpostiviestiä ja verkkosivuja koskevan paremmankaan selvityksen perusteella asiakkaan voitaisi kohtuudella edellyttää ymmärtäneen, ettei viesti ollut postin lähettämä ja viestissä olleesta linkistä avautuneet sivut olleet postin. Pankkilautakunta kiinnittää tässä huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä viestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttaa siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa postin nimissä tulevan sähköpostin ja viestissä olevan linkin asianmukaisuutta. Kun asiakas on verkkosivujen näkymän perusteella luullut asioivansa postin kanssa ja on mitä ilmeisimmin tunnistautumistarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin tavanomaista suurempaa huolimattomuutta.

Pankkilautakunta kuitenkin katsoo, että käytettyään pankkitunnuksiaan ja syötettyään kahden eri pankin korttitietonsa linkin kautta avautuneilla sivuilla asiakkaan olisi asiointinsa seuraavissa vaiheissa tullut kiinnittää erityistä huomiota siihen, mitä pankki hänelle viestii. Saatuaan tavanomaisesta tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa alkuperäisen yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa koodi syöttämättä linkin kautta avautuneille verkkosivuille. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta taikka viestissä olleen kehotuksen mukaisesti soittanut pankin sulkupalveluun, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä esimerkiksi siten, ettei huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään.

Pankkilautakunta katsoo, että pankin asiakkaalle lähettämä em. tekstiviesti poikkeaa olennaisella tavalla tavanomaisesta tunnistautumista koskevasta vahvistusviestistä. Viestissä kerrotaan asianmukaisesti, mihin viestissä ollutta vahvistuskoodia käytetään ja mihin se tulee syöttää, varoitetaan isoin kirjaimin huijaussivustoista ja antamasta koodia millekään verkkosivuille - jollaisilla asiakas on tapauksessa asioinut -, ja kehotetaan ottamaan yhteyttä pankkiin, jos epäilee antaneensa verkkopankkitunnuksiaan huijaussivuille.

Asiassa saadun selvityksen perusteella ja erityisesti pankin lähettämän pankin mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin sisältö huomioiden Pankkilautakunta katsoo asiakkaan syöttäneen pankin tekstiviestitse lähettämän koodin verkkosivuille mahdollisesti lukematta viestin sisältöä tai ainakin sen sisältöä menettelyssään huomioimatta ja asiakkaan menettelyn tämän johdosta osoittavan hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta ja asiakkaan siten vastaavan täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                    
Sihteeri Hidén

Jäsenet

Atrila
Piilo
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä