Haku

FINE-79236-S3R3M8

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-79236-S3R3M8 (2026)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 17.03.2026

Miten vastuu asiakkaan tililtä oikeudettomasti tehdyistä ja uudella pankin tunnistussovelluksella vahvistetuista maksutapahtumista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Verkkopankkitunnusten oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on vastaanottanut 9.6.2025 klo 13.01 tekstiviestin, jossa on lukenut seuraavaa:
”Hei! Viimeinen kirjallinen varoitus puuttuvasta veloituksesta. Suorita se: Velallisenpalvelut.com tai ulosmittaaminen aloitetaan. Terveisin [tilitoimiston nimi]”
Asiakas on viestissä olleen linkin kautta avautuneille verkkosivuille syöttänyt pankkitunnuksiaan.

Asiakas on pankin selvityksen mukaan saanut omassa puhelimessa olleeseen pankin tunnistussovellukseen seuraavanlaisen vahvistuspyynnön:
"Hyväksyntä [pankki] ID:n käyttöönottoon uudessa laitteessa
[pankki] ID ei ole enää rekisteröity ja käytettävissä tällä laitteella hyväksynnän jälkeen
Jos et ole itse pyytänyt laitteen vaihtoa, niin hylkää pyyntö ja ota välittömästi yhteyttä [pankkiin]"

Uusi pankin tunnistussovellus on otettu käyttöön a05s-nimetyllä laitteella, ja pankki on lähettänyt asiakkaalle tekstiviestin 9.6.2025 klo 13.06:
"Hienoa, olet nyt aktivoinut [pankki] ID-tunnistussovelluksen. Jos et ole itse tällä hetkellä aktivoimassa [pankki] ID:tä ja olet saanut tämän viestin, ota meihin yhteyttä mahdollisimman pian. Ystävällisin terveisin, [pankki] SMSID: xxxxxx"

Em. pankin tunnistussovellusta käyttäen asiakkaan lasten tileiltä on tehty siirrot asiakkaan tilille ja asiakkaan tililtä on tämän jälkeen 9.6.2025 klo 13.13 tehty 5.410,00 euron siirto ulkopuoliselle.

Asiakas on soittanut pankin asiakaspalveluun ja asiakkaan verkkopankkitunnukset on suljettu 9.6.2025 klo 13.25.

Asiakkaan valitus

Asiakas toivoisi pankilta varojen palautusta lastensa tilien osalta. Siirrot lasten tileiltä olivat 2.550 ja 2.700 euroa.

Asiakas joutui 9.6.2025 verkkopankkihuijauksen kohteeksi, jonka seurauksena menetti omalta ja kahden lapsensa tileiltä rahaa yhteensä 5.410 euroa. Asiakas on tehnyt asiasta rikosilmoituksen.

Maanantaina 9.6.2025 klo 13.01 asiakas sai tekstiviestin, joka näytti olevan tilitoimiston lähettämä. Viestissä oli linkki, jonka kautta asiakas kirjautui verkkopankkitunnuksillaan. Tämän jälkeen asiakas sai pankin ID-sovellukseen vahvistuspyynnön kirjautumista varten ja hyväksyi sen. Tämän jälkeen pankin ID-sovellus ilmoitti aktivoituneensa uuteen laitteeseen ilman erillistä tekstiviestivahvistusta tai vahvistuskoodia, ainoastaan jälkikäteen saapui tekstiviesti-ilmoitus toteutuneesta aktivoinnista. Tunnistuspyyntö näytti täysin tavalliselta kirjautumiselta, eikä viitannut siihen, että pankin ID-sovellus olisi aktivoitumassa uudelle laitteelle. Asiakas haluaa korostaa, että ei ole hyväksynyt toisen laitteen käyttöönottoa omalla laitteellaan, vaan olisi ehdottomasti hylännyt tuon pyynnön, jos sellainen olisi hänelle tullut.

Asiakas ei päässyt enää omalla laitteellaan kirjautumaan ja soitti välittömästi pankkiin jäädyttääkseen tilinsä, mutta valitettavasti rahat oli tässä vaiheessa jo ehditty siirtää tililtä eteenpäin. Samassa yhteydessä tyhjennettiin myös lasten tilit siirtämällä varat ensin asiakkaan omalle tilille ja siitä eteenpäin. Lasten tileillä olleet säästöt olivat pääosin asiakkaan avopuolison heille säästämiä, ja asiakkaan mielestä on kohtuutonta, että he menettävät rahansa huijauksen vuoksi.

Pankin vastine

Asiakas vaatii pankkia korvaamaan kyseisen maksun 9.6.2025 klo 13.13 5.410,00 EUR. Pankki kiistää asiakkaan korvausvaatimuksen.

Pankin selvityksen perusteella asiakkaan reklamoima tilisiirto on hyväksytty vahvalla sähköisellä tunnistamisella. Pankin myöntämät pankkitunnukset ovat maksupalvelulain 8 §:ssä (Määritelmät) kohdassa 11 tarkoitettu maksuväline. Pankki viittaa maksupalvelulain 53 §:än ja pankin sähköisen asioinnin ehtojen Sähköinen tunnistaminen ja sähköinen allekirjoitus -kohtaan ja Tunnisteen säilyttäminen ja katoamisvastuu -kohtaan.

Asiakkaan kertoman mukaan tapauksessa on ollut kyse huijauksesta, jossa hän on vastaanottanut tilitoimiston nimissä lähetetyn huijausviestin. Tekstiviesti on sisältänyt linkin, jonka kautta asiakas on kertonut luovuttaneensa verkkopankkitunnuksensa.

Pankin tekemän selvityksen perusteella asiakkaan tiedoissa näkyy uusi a05s-niminen laite, joka otettu käyttöön 09.06.2025 kello 13.06. Pankin ID-sovelluksen käyttöönotto uudella laitteella tapahtuu seuraavasti: Kun sovellus on ladattu sovelluskaupasta, tunnistautumiseen valitaan joko pankin pankkitunnukset tai muut suomalaiset pankkitunnukset. Sovellukseen syötetään pankkitunnusten käyttäjätunnus ja salasana. Valitaan haluttu tunnistustapa; joko SMS, pankin ID toisessa puhelimessa tai tunnuslukulaite. Kun näistä tunnistustavoista valitaan vaihtoehto pankin ID-sovellus toisessa laitteessa, tulee pankin ID olla aktiivisena toisessa laitteessa.

Kun huijari on valinnut tunnistustavaksi pankin ID-sovelluksen toisessa (eli asiakkaan omassa) laitteessa, asiakkaan omalla pankin ID-tunnistusnäytöllä on aktivoinnin yhteydessä näkynyt seuraava teksti:
"Hyväksyntä [pankki] ID:n käyttöönottoon uudessa laitteessa
[pankki] ID ei ole enää rekisteröity ja käytettävissä tällä laitteella hyväksynnän jälkeen Jos et ole itse pyytänyt laitteen vaihtoa, niin hylkää pyyntö ja ota välittömästi yhteyttä [Pankkiin]"

Uusi pankin ID -laite on lisätty asiakkaan pankkitunnuksiin 9.6.2025 klo 13.06. Uuden ID-laitteen lisäyksestä on lähetetty asiakkaalle tekstiviesti puhelinnumeroon klo 13.06. Tekstiviesti on sisältänyt tiedon onnistuneesta pankin ID -sovelluksen latauksesta:
"Hienoa, olet nyt aktivoinut [pankki] ID-tunnistussovelluksen. Jos et ole itse tällä hetkellä aktivoimassa [pankki] ID:tä ja olet saanut tämän viestin, ota meihin yhteyttä mahdollisimman pian. Ystävällisin terveisin, [pankki] SMSID: xxxxxx"

Asiakkaan omalla pankin ID-tunnistusnäytöllä on näkynyt tieto, että asiakas on hyväksymässä ID:n käyttöönoton uudessa laitteessa. Mikäli asiakas ei ole itse ollut ottamassa sovellusta käyttöön uudella laitteella, häntä on pyydetty hylkäämään pyyntö ja olemaan välittömästi yhteydessä pankkiin. Pankin selvityksen perusteella asiakkaan on tullut vahvistaa huijarin ID-sovelluksen käyttöönotto omalla ID-sovelluksella sen jälkeen, kun hän on tekstiviestitse tulleen huijauslinkin kautta luovuttanut huijarin tietoon verkkopankin käyttäjätunnuksen sekä salasanan. Näiden avulla huijari on päässyt lataamaan pankin ID-sovelluksen omalle laitteelleen sekä tekemään asiakkaan reklamoiman tilisiirron 5.410,00 EUR.

Pankki viittaa maksupalvelulain 54 §:n 1 momenttiin. Huijari on onnistuneesti ottanut pankin ID-sovelluksen käyttöön omalle laitteelleen 9.6.2025 kello 13.06. Asiakkaan reklamoima tilisiirto on tehty 9.6.2025 klo 13.13. Asiakas on soittanut pankin asiakaspalveluun noin kello 13.25, eli tapahtumien veloittumisen jälkeen. Tässä yhteydessä asiakkaan verkkopankkitunnukset on suljettu pankissa 09.06.2025 kello 13.25. Kortti -6052 on suljettu 9.6.2025 klo 13.40. Kortti -3648 on suljettu 9.6.2025 klo 13.41.

Pankki viittaa maksupalvelulain 62 §:än. Pankki on arvioinut asiakkaan menettelyä tilanteessa ja katsoo, että asiakkaan menettely kokonaisuutena arvioiden osoittaa maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Pankki katsoo asiakkaan siten vastaavan täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Kuvakaappaus asiakkaan 9.6.2025 vastaanottamasta tilitoimiston nimissä lähetetystä tekstiviestistä
- Sähköisen asioinnin ehdot
- Onlinepalvelut

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin sekä pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin Sähköisen asioinnin ehtojen (pankkitunnusehdot) kohta, joka koskee kuluttaja-asiaan vastuuta pankkitunnusten käytöstä maksuvälineenä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Sähköinen tunnistaminen ja sähköinen allekirjoitus -kohdan mukaan
[…] Tunniste on luonnollisen henkilön sähköisen tunnistamisen ja sähköisen allekirjoittamisen väline. […]

Pankkitunnusehtojen Tunnisteen säilyttäminen ja katoamisvastuu -kohdan mukaan
Tunnisteet ovat henkilökohtaiset, eikä niitä saa luovuttaa kolmannelle tai toisten henkilöiden, sovellusten tai palveluiden käyttöön. […]
Asiakas ja käyttäjä sitoutuvat säilyttämän Pankin hyväksymät tunnisteet niiden käyttöohjeiden mukaan huolellisesti niin, ettei sivullisen ole mahdollista saada niitä tietoonsa tai käyttää niitä.
[…]
Asiakas vastaa hallussaan olevien tunnistetietojen huolellisesta säilyttämisestä siten, että ne eivät joudu sivullisen tietoon. Pankki ei koskaan pyydä pankkitunnusten tietoja sähköpostilla tai muutoin, kun pankki ottaa asiakkaaseen tai käyttäjään yhteyttä. Tunnistetietoja ei koskaan saa antaa sähköpostilla tai puhelimella niitä kysyvälle, ei edes Pankille.
Asiakkaan tai käyttäjän on heti ilmoitettava Pankille, jos hän tietää tai epäilee, että pankkitunnusten salainen salasana, tunnistussovelluksella varustettu puhelin tai muu mobiililaite, tunnuslukulaite, pikatunnistuksella varustettu puhelin tai muu vastaava tunnistetietoa, jota voi käyttää väärin, on joutunut sivullisen tietoon tai haltuun.
[…]

Asian arviointi

Tapahtumienkulku

Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä asiakkaan nimissä olevan pankin tunnistussovelluksen käyttöönotto rikollisten laitteelle on edellyttänyt. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän, pankin järjestelmätietoihin perustuvan selvityksen paikkansapitävyyttä.

Pankkilautakunta katsoo asiassa riidattomaksi, että asiakas on rikollisten tilitoimiston nimissä lähettämässä tekstiviestissä olleen linkin kautta avautuneilla rikollisten luomilla valesivuilla käyttänyt pankkitunnuksiaan kirjautumistarkoituksessa. Valesivujen kautta saamillaan asiakkaan pankkitunnusten käyttäjätunnusta ja salasanaa käyttäen rikolliset ovat aloittaneet omalle laitteelleen lataamansa pankin tunnistussovelluksen käyttöönoton. Pankki on tämän johdosta lähettänyt asiakkaan puhelimessa olevaan pankin tunnistussovellukseen vahvistuspyynnön:
"Hyväksyntä [pankki] ID:n käyttöönottoon uudessa laitteessa [pankki] ID ei ole enää rekisteröity ja käytettävissä tällä laitteella hyväksynnän jälkeen
Jos et ole itse pyytänyt laitteen vaihtoa, niin hylkää pyyntö ja ota välittömästi yhteyttä [pankkiin]"

Pankkilautakunta katsoo, että vaikka asiakas kertomansa mukaan on hyväksynyt tavanomaisen tunnistautumista koskevan vahvistuspyynnön, on hän tosiasiassa epähuomiossa vahvistanut em. pankin selvityksen mukaisesti vahvistuspyynnön tunnistussovelluksessaan 9.6.2025 klo 13.06. Tämän seurauksena pankin tunnistussovellus on aktivoitunut rikollisten laitteella, ja pankki on tämän johdosta lähettänyt asiakkaalle klo 13.06 sovelluksen aktivoimisesta kertovan tekstiviestin:
"Hienoa, olet nyt aktivoinut [pankki] ID-tunnistussovelluksen. Jos et ole itse tällä hetkellä aktivoimassa [pankki] ID:tä ja olet saanut tämän viestin, ota meihin yhteyttä mahdollisimman pian. Ystävällisin terveisin, [pankki] SMSID: xxxxxx"

Em. pankin tunnistussovellusta oikeudetta käyttäen rikolliset ovat tehneet ja vahvistaneet 9.6.2025 klo 13.13 ko. 5.410,00 euron siirron ulkopuoliselle.

Asiakas on soittanut pankin asiakaspalveluun ja hänen verkkopankkitunnuksensa on suljettu 9.6.2025 klo 13.25.

Asiakkaan menettelyn arviointi

Tapauksessa on riidatonta, että asiakas on rikollisten tilitoimiston nimissä lähettämässä tekstiviestissä olleen linkin kautta avautuneilla sivuilla käyttänyt pankkitunnuksiaan tunnistautumistarkoituksessa.

Pankkilautakunta katsoo, ettei asiakkaan voida edellyttää ymmärtäneen tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut perintäpalveluja tarjoavan tilitoimiston lähettämä ja maksamatta jäänyttä laskua koskeva, ja ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä tekstiviestitse tulleen yhteydenoton asianmukaisuutta. Tässä lautakunta kiinnittää huomiota siihen, että nykyään moninaiset yksityiset ja julkiset toimijat mukaan lukien pankit ja muut rahoituspalvelujen tarjoajat yhtiöryhmineen lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa tämänkaltaisen tili- tai perintätoimiston nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.

Ottaen edellä todetun lisäksi huomioon, että vaikka pankkitunnusehdoissa kielletään antamasta tunnistetietoja sähköpostilla tai puhelimella niitä kysyvälle, ehdoissa ei mainita muita sähköisesti tapahtuvia yhteydenottoja eikä kielletä tunnusten käyttämistä linkin kautta avautuneilla sivuilla, Pankkilautakunta katsoo, ettei asiakkaan voida katsoa huolimattomuudestaan laiminlyöneen pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään tunnuksiaan näkemänsä ja käsittämänsä perusteella niiden tavanomaisessa käyttötarkoituksessa tunnistautuakseen kolmannen osapuolen palveluun.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta tunnistautumistilanteesta poikkeavalla tavalla pankin tunnistussovellukseensa vahvistuspyynnön, joka on koskenut pankin tunnistussovelluksen käyttöönottoa uudessa laitteessa, asiakkaan olisi tullut kyseenalaistaa tilitoimiston nimissä saamansa yhteydenoton ja asiointinsa asianmukaisuus ja tarkoitus, ja jättää vahvistuspyyntö vahvistamatta. Mikäli asiakas olisi tuossa vaiheessa vahvistuspyynnössä olleen kehotuksen mukaisesti hylännyt vahvistuspyynnön ja ottanut itse yhteyttä pankkiin, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä. Näin ollen Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan huomattavaa varomattomuutta osoittavalla tavalla.

Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit ja vahvistuspyynnöt. Pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ja vahvistuspyynnöt ovat sisällöltään ymmärrettäviä siten, ettei huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa esimerkiksi pankin viestissä ollutta koodia käytetään tai mitä häntä pyydetään pankin tunnistussovelluksella vahvistamaan.

Pankkilautakunta kiinnittääkin tässä tapauksessa erityistä huomiota pankin asiakkaalle lähettämän pankin tunnistussovelluksen vahvistuspyynnön suppeaan muotoiluun ja vähäiseen informaatioarvoon.

Tapahtuma-aikaan tämänkaltaiset verkkourkintatapaukset, joissa rikolliset uhreilta valesivujen kautta saamin tiedoin saavat käyttöönsä uhrin nimissä olevan pankin mobiilisovelluksen, olivat jo usean vuoden ajan olleet yleisiä, ja pankin olisi erityisesti tämän johdosta - pankkipalveluiden palveluntarjoajana ja väärinkäytöstilanteiden riskit asiakkaitaan paremmin tuntien - tullut parantaa tämänkaltaisissa tapauksissa usein ratkaisevassa asemassa olevien aktivointikoodi-tekstiviestiensä tai tunnistussovelluksensa vahvistuspyyntöjen sisältöä.

Edelleen lautakunta katsoo pankin mahdollisimman hyvän, asiakkaansa suuntaan tapahtuvan viestinnän merkityksen tällaisessa tapauksessa korostuvan uuden tunnistussovelluksen aktivoinnin/käyttöönoton vahvistamisen tapahtuessa pankin tunnistussovelluksessa sen sijaan, että sovelluksen aktivointi tehtäisiin pankin tekstiviestitse lähettämällä aktivointikoodilla. Tekstiviestitse lähetettävän aktivointikoodin tilanteessa toimenpide edellyttää asiakkaalta kuitenkin tunnistussovelluksella tehtävään vahvistamiseen verrattuna aktiivisempia toimia, joiden yhteydessä mahdollisen verkkourkinnan uhrilla on suurempi todennäköisyys huomata ristiriita pyydettyjen toimien ja käsittämänsä asioinnin välillä. Tunnistussovelluksessa annetun vahvistamisen jälkeen asiakkaan ei ole myöskään heti tapahtuneen jälkeen ja mahdollisen erehdyksensä havaittuaan mahdollista tarkistaa sovelluksesta, mitä tuli vahvistaneeksi, toisin kuin tilanteessa, jossa olisi erehtynyt syöttämään tekstiviestitse saamansa aktivointikoodin virheellisesti verkkosivuille.

Edellä todetusta huolimatta pankin ko. vahvistuspyyntö on tässä tapauksessa ollut suppea ja informaatioarvoltaan heikko, eikä pankki vahvistuspyynnössään varoita väärinkäytöksistä tai riskeistä pankkitunnusten väärinkäytön ja erehdyksessä tehdyn vahvistuksen seurausten suhteen. Pankki ei vahvistuspyynnössä myöskään mainitse, mille laitteella tai miten nimetylle laitteelle sovellusta ollaan ottamassa käyttöön, mikä voisi herättää tämänkaltaisen verkkourkinnan kohteeksi joutuneen pankin asiakkaan huomion.  Vahvistuspyyntö ei lautakunnan käsityksen mukaan myöskään pituudeltaan olennaisesti poikkea vahvistuspyynnöstä, jonka pankki esittää sovelluksen käyttäjälle tämän tunnistautuessa ulkopuolisen palveluntarjoajan palveluun. Nämä huomattavat puutteet pankin tunnistussovelluksen vahvistuspyynnössä kohottavat olennaisesti riskiä sille, että pankin asiakas käyttäessään pankkitunnuksiaan rutiininomaisesti tavanomaisessa kirjautumis-/tunnistautumistilanteessa - mutta tosiasiassa rikollisten luomilla valesivuilla - ei huomaa pankilta saamansa vahvistuspyynnön eroavan tavanomaisesta kirjautumista koskevasta vahvistuspyynnöstä.

Pankkilautakunta katsookin tässä tapauksessa ilmeiseksi, että ollessaan käsityksensä mukaisesti kirjautumassa ulkopuolisen palveluun asiakas on sekoittanut pankiltaan tunnistussovellukseen saamansa vahvistuspyynnön tavanomaiseen tunnistautumista koskevaan vahvistuspyyntöön. Vaikka lautakunta katsookin tämän olleen seurausta siitä, että asiakas ei ole huolelliselta pankkitunnustenhaltijalta edellytettävällä tavalla tutustunut vahvistuspyynnön sisältöön, lautakunta pitää tunnistussovellukseen tulleen vahvistuspyynnön puutteet huomioon ottaen ymmärrettävänä, että ollessaan käsityksensä mukaisesti tunnistautumassa ulkopuolisen palveluun asiakkaan huomio ei rutiininomaisessa tunnistautumistilanteessa ole kiinnittynyt tunnistussovellukseensa tulleen vahvistuspyynnön tarkkaan sanalliseen sisältöön antaessaan sovelluksen pyytämän vahvistuksen.

Pankki on lähettänyt asiakkaalle 9.6.2025 klo 13.06 sovelluksen käyttöönoton jälkeen sovelluksen käyttöönotosta kertovan tekstiviestin, jossa pankki kertoo sovelluksen aktivoimisesta ja myös kehottaa ottamaan yhteyttä mahdollisimman pian, jos ei ole itse aktivoimassa sovellusta. Tätä pankin toimintatapaa lähettää tunnistussovelluksen käyttöönotosta kertova tekstiviesti Pankkilautakunta pitää hyvänä ja osaltaan väärinkäytöstilanteissa aiheutuvilta vahingoilta ehkäisevänä vaikkakin tuossa vaiheessa tunnistussovellus saattaa jo olla ulkopuolisen käytössä ja pankin tekstiviesti saattaa myös jäädä asiakkaan huomaamatta, ja merkittävämmän ehkäisevän vaikutuksen voi siten katsoa olevan sovelluksen aktivointia/käyttöönottoa koskevan vahvistuspyynnön asianmukaisella ja informatiivisella sisällöllä.

Edelleen lautakunta kiinnittää huomiota siihen, että pankki ei tässä tekstiviestissäkään selvästi varoita asiakastaan riskeistä pankkitunnusten väärinkäytön ja mahdollisesti erehdyksessä tapahtuneen tunnistussovelluksen aktivoimisen seurausten suhteen. Pankki ei ilmoita viestissään myöskään, mihin numeroon asiakkaan olisi oltava yhteydessä jos ei ole ollut aktivoimassa sovellusta itselleen, minkä voi katsoa olevan olennainen tieto tämänkaltaisessa tapauksessa aiheutuvan väärinkäytön mahdollisimman nopean estämisen kannalta.

Asiakkaan kertoman mukaan hän soitti välittömästi pankkiin jäädyttääkseen tilinsä, kun ei päässyt enää omalla laitteellaan kirjautumaan. Asiassa ei ole esitetty selvitystä, mihin kellonaikaan asiakas on soittanut pankin asiakaspalveluun, mutta joka tapauksessa asiakkaan pankin asiakaspalveluun tekemän soiton johdosta hänen pankkitunnuksensa on suljettu 9.6.2025 klo 13.25, alle 20 minuuttia pankin lähettämän pankin tunnistussovelluksen käyttöönotosta kertoneen tekstiviestin jälkeen.

Pankin tunnistussovellus rikollisten laitteelle on aktivoitunut  käyttöön heti eikä esimerkiksi viiveellä kuten mahdollista olisi, ja asiassa saadun selvityksen mukaan rikolliset ovat heti sovelluksen käyttöönsä saatuaan tehneet asiakkaan lasten tileiltä siirrot asiakkaan tilille ja asiakkaan tililtä vahingon asiassa realisoineen 5.410,00 euron siirron ulkopuoliselle klo 13.13, noin seitsemän minuuttia pankin asiakkaalle lähettämän tekstiviestin jälkeen.

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella jääneen epäselväksi, olisiko asiakas pankin tekstiviestin huomattaan toisin toimimalla voinut saada pankkitunnuksensa suljettua hieman aikaisemmin, eikä lautakunnan ole asiassa saadun selvityksen perusteella myöskään mahdollista arvioida, olisiko tämän mahdollisen viivästyksen tunnusten sulkemisessa voitu katsoa osoittaneen asiakkaan huolimattomuutta pankkitunnustenhaltijana. Joka tapauksessa lautakunta katsoo, ettei asiakkaan voida katsoa suhtautuneen piittaamattomasti pankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin hänen otettua pian viestin saatuaan yhteyttä pankkiin, ja edelleen, ettei asiakas pankin tekstiviestin saatuaan olisi toisin toimimalla voinut ehtiä estämään asiassa aiheutunutta vahinkoa. Näin ollen asiakkaan menettely tältä osin ei ole syy-yhteydessä asiassa aiheutuneeseen vahinkoon eikä asiakkaan menettelyn mahdollinen huolimattomuus tältä osin vaikuta asiassa pankin ja asiakkaan väliseen vastuunjakoon.

Yhteenvetona Pankkilautakunta katsoo asiakkaan huolimattomuudestaan ja selvää varomattomuutta osoittavalla tavalla laiminlyöneen maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan vahvistettuaan tunnistautumistilanteessa pankin asiakkaan tunnistussovellukseen lähettämän tunnistussovelluksen käyttöönottoa uudessa laitteessa koskevan vahvistuspyynnön huomioimatta vahvistuspyynnön tarkkaa sisältöä. Ottaen kuitenkin huomioon erityisesti pankin vahvistuspyynnön heikon informaatioarvon sekä sen, että asiakas ei ole tunnistautumistilanteessa ymmärrettävistä syistä huomannut pyynnön eronneen tavanomaisesta tunnistautumista koskevasta vahvistuspyynnöstä, lautakunta katsoo, ettei asiakkaan menettely kokonaisuutena osoita selvää piittaamattomuutta pankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin eikä siten myöskään maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Näin ollen asiakkaan vastuu pankkitunnusten oikeudettomasta käytöstä rajoittuu 50 euroon.

Lopputulos

Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puhenjohtaja Sillanpää                                    
Sihteeri Hidén

Jäsenet

Atrila
Piilo
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä