Tapahtumatiedot
Asiakas sai 23.8.2025 huijauspuhelun, jonka soittaja oli esiintynyt pankin virkailijana. Asiakasta erehdytettiin antamaan soittajalle pankkitunnuksensa.
Asiakkaan luottokortilta tehtiin 23.8.2025 klo 19.01 1 999 euron tilisiirto asiakkaan käyttötilille ilman vahvaa tunnistamista, jonka jälkeen asiakkaan käyttötililtä tehtiin klo 19.03 3 487,10 euron tilisiirto ulkopuoliselle. Siirto ulkopuoliselle vahvistettiin asiakkaan käytössä olleella tunnistussovelluksella pankin asiakkaan numeroon tekstiviestitse lähettämän lisävahvistuskoodin avulla.
Asiakkaan tunnistussovellus poistettiin käytöstä 23.8.2025 klo 19.26 ja kortti suljettiin klo 19.31.
Asiakkaan valitus
Asiakas vaatii pankkia hyvittämään hänelle 1 999 euroa, joka on aiheutunut asiakkaan luottokortilta tehdystä tilisiirrosta asiakkaan tilille ja 115,97 euron suuruisen luottokorttilaskun.
Asiakas sai 23.8.2025 huijauspuhelun. Soittaja oli esiintynyt pankin virkailijana ja kertonut olevansa pankin valvonnasta ja estävänsä 300 euron suuruisen tilisiirron saksalaiselle pankkitilille.
Pankin virkailijana esiintynyt henkilö pyysi asiakkaalta pankkitunnuksia, ja vahvistamaan toimia pankkitilillä, jotka liittyivät 300 euron tilisiirtoon Saksaan. Näin ollen asiakkaan näkemyksen mukaan hän on ollut huolimaton, mutta ei törkeän huolimaton. Asiakas kuitenkin havaitsi nopeasti epämääräisen maksun tulleen pankkitililleen (3 487,10 euroa), joka pitäisi maksaa saksalaiselle pankkitilille. Havainnon jälkeen asiakas ei hyväksynyt 3 487,10 euron maksua, vaikka soittaja pyysi, koska ymmärsi tässä vaiheessa kyseessä olevan huijaus, vaan sulki keskustelun, kirjautui mobiilipankista ulos ja poisti sovelluksen.
Tämän jälkeen asiakas ilmoitti asiasta välittömästi pankin sulkupalveluun pankin digipalveluehtojen mukaisesti ja sulki kaikki tilit ja kortit turvatakseen tilinsä. Asiakas teki myös rikosilmoituksen asiasta seuraavana mahdollisena arkipäivänä.
Pankin digipalveluehtojen kohdassa 16.1 lukee seuraavaa:
”Tunnusta ei saa luovuttaa kenellekään toiselle henkilölle…eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [pankin] hyväksymä…. Jos annat tunnukset kolmannelle osapuolelle, vastaat tekemistäsi toimista.”
Pankin digipalveluehtojen kohta 17.1:
”Sallittua ei ole käyttää esim. sellaisia palveluita, jotka ottavat hallintaansa asiakkaan istunnon [pankin] digitaalisissa palveluissa. Edellä sanottu ei rajoita oikeuttasi käyttää…toimiluvan saaneita maksutoimeksiantopalveluja.”
Asiakas oli siinä käsityksessä, että hän asioi pankin virkailijan kanssa, eli kolmas osapuoli oli ”pankin virkailija”, joka on asiakkaan näkemyksen mukaan oletettavasti toimiluvan saanut henkilö.
Pankin digipalveluehtojen kohdassa 17.2.1.1 kerrotaan seuraavaa:
”Vastaat tunnuksen oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos olet luovuttanut tunnuksesi niiden käyttöön oikeudettomalle.”
Asiakas asioi pankin valvontatoiminnossa työskentelevän ”pankin virkailijan" kanssa, joka ovat toimiluvan saanut henkilö ja näin ollen oikeutettu. Asiakkaan näkemyksen mukaan hän on ollut huolimaton, mutta ei törkeän huolimaton, sillä hän asioi "pankin virkailijan" kanssa. Asiakas on ilmoittanut välittömästi pankin sulkupalveluun lauantaina 23.8.2025 tunnustensa jouduttua vääriin käsiin ja tehnyt asiasta heti maanantaina rikosilmoituksen sekä korttireklamaation pankkiin.
Asiakas havaitsi myös, että korttien turvarajat ovat olleet pienemmät, kun tilisiirto 3 487,10 euroa, joten on erikoista, että lauantaina, jolloin raha ei liiku, on voinut tapahtua tällainen siirto.
Tilitapahtumien kulku eteni siten, että ensin asiakkaan luottokortilta siirrettiin asiakkaan tilille 1 999 euroa ja 300 euroa. Sen jälkeen huijari siirsi asiakkaan tililtä saksalaiselle tilille 3 487,10 euroa.
Pankin lausunnossa sanotaan seuraavaa:
”Varsinainen vahinko on tapahtunut, kun varat on siirretty ulkopuolisen omistamalle tilille. Tämän siirron asiakas on hyväksynyt omalla tunnistussovelluksellaan…”
Asiakkaan näkemyksen mukaan tämä ei pidä paikkaansa, sillä ”pankin virkailija” teki nämä toimenpiteet sen jälkeen kun ”pankin virkailija” oli saanut asiakkaan pankkitunnukset haltuunsa. Asiakkaalle oli tullut myös sulkupalveluun soiton aikana tekstiviesti, jossa kehotettiin käymään hyväksymässä rahasumma mobiilipankissa ja viestissä oli saksalainen pankkitili. Tässä vaiheessa asiakas oli jo poistanut mobiilipankkisovelluksen eikä käynyt missään hyväksymässä mitään maksuja. Sulkupalveluun soiton jälkeen tilit olivat kiinni. Pankin lausunnossa mainitaan jatkuvasti, että asiakas on itse tehnyt maksuvahvistuksia. Asiakas on ainoastaan vahvistanut alkuperäisen 300 euron siirron, jonka ”pankin valvonnan virkailijan” piti estää.
Pankin varoitukset pankkihuijauksista eivät ole tavoittaneet asiakasta, sillä hän käyttää vain pankin pankkipalveluita maksujen maksamiseen, eikä seuraa somea.
Asiakas ei ole näkemyksensä mukaan millään lailla toiminut törkeän huolimattomasti, mitä pankki väittää, vaan pelkästään huolimattomasti. Näin ollen asiakas katsoo, että pankin pitää korvata asiakkaan luottokortilta tehty tilisiirto kokonaisuudessaan ja lisäksi maksut, joita asiakas joutuu joka kuukausi maksamaan.
Pankin vastine
Selvitys tapahtumasta
Asiakkaan kertoman mukaan hän on 23.8.2025 saanut puhelun pankin työntekijänä esiintyneeltä henkilöltä. Tämä henkilö on esittänyt, että asiakkaan tililtä oltaisiin tekemässä tilisiirtoa Saksaan. Asiakas on kertonut, että häntä on puhelussa erehdytetty luovuttamaan verkkopankkitunnuksensa.
Pankin selvityksen mukaan asiakkaan luottokortilta on klo 19.01:12 nostettu 1 999,00 euroa asiakkaan -XX loppuiselle käyttötilille. Tapahtuma ei ole edellyttänyt vahvaa tunnistamista ja varat ovat edelleen olleet asiakkaan hallinnassa ja vallinnassa. Ennen siirtoa, kyseisellä käyttötilillä oli 1 200,00 euroa. Klo 19.01:47 on siirretty asiakkaan -YY loppuiselta käyttötililtä 300,00 euroa taas -XX loppuiselle käyttötilille. Siirto ei ole edellyttänyt vahvaa tunnistamista ja varat ovat edelleen olleet asiakkaan hallinnassa ja vallinnassa.
Tämän jälkeen on tehty tilisiirto ulkopuoliselle seuraavin tiedoin:
pvm 23.08.2025 klo 19.03
summa 3 487,10 euroa
saaja X
saajan tili DEXX XXXX XXXX XXXX XXXX
Kyseinen ulkopuoliselle menevä tilisiirto on vahvistettu asiakkaan tunnistussovelluksella ja pankki on lähettänyt 23.8.2025 klo 19.02.15 asiakkaan pankkitunnuksiin liitettyyn puhelinnumeroon turvallisuussyistä tekstiviestin:
”Olet maksamassa palvelussamme 3 487,10 EUR tilille DE[XX XXXX XXXX XXXX XXXX XX]. Tarkista tiedot ja vahvista koodille #### mobiilisovelluksessa. [pankki]”
Pankki on toimittanut Pankkilautakunnalle referenssikuvat asiakkaalle toimitetusta lisävahvistusviestistä ja näkymästä asiakkaan mobiililaitteella, johon tekstiviestillä toimitettu lisävahvistuskoodi syötetään. Referenssikuvassa näkymästä mobiililaitteella lukee, että kyseessä on maksun hyväksyntä ja lisäksi maksun summa sekä saajan tilinumero.
Asiakkaan tunnistussovellus on poistettu käytöstä 23.8.2025 klo 19.26 ja kortti on suljettu klo 19.31.
Pankin näkemys asian arvioinnista
Pankki on useaan otteeseen varoittanut asiakkaitaan erilaisista tietojenkalasteluista ja huijauksista. Pankki katsoo yleisen tietämyksen ja pankin antamien varoitusten perusteella, että asiakkaan tulisi olla tietoinen tunnusten turvallisesta ja huolellisesta käytöstä ja säilyttämisestä. Pankki on korostanut sitä, ettei pankki tai poliisi kysy tunnuksia puhelimessa vaan näin toimii ainoastaan rikollinen. Pankki on ohjeistanut asiakkaitaan olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä on lisäksi ohjeistanut, ettei verkkopankkiin saa kirjautua sähköpostitse tai tekstiviestillä tulleen linkin kautta. Lisäksi pankki on ohjeistanut lukemaan aina huolella vahvistuspyynnöt. Pankin ohjeistuksen mukaan mitään sellaista tapahtumaa, jota ei tunnista tehneensä, ei tule vahvistaa.
Tapauksessa tililtä tehty siirto on vahvistettu asiakkaan tunnistussovelluksella. Hän on itse hyväksynyt siirron ja antanut näin maksupalvelulain 38 §:n mukaisen suostumuksen maksutapahtuman toteuttamiselle. Maksun vahvistamiseksi pankki on lähettänyt tunnuksiin liitettyyn puhelinnumeroon tekstiviestin. Vahvistusviesti on sisältänyt tiedot maksun summasta, maksun saajan tilinumerosta sekä lisävahvistuskoodista.
Pankki ei ole asiassa toiminut petollisesti ja suostumus pankille on annettu lain ja pankin sopimusehtojen mukaisesti.
Asiakas vastaa pankkitunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos oikeudeton käyttö johtuu siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankin tunnus- ja digisopimuksen mukaisia velvollisuuksiaan, ja asiakkaan huolimattomuuden katsotaan olevan törkeää. Asiakas vastaa pankkitunnusten huolellisesta säilyttämisestä, koska viime kädessä ainoastaan maksuvälineenhaltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän on maksuvälinettään säilyttänyt.
Asiakas on myöntänyt antaneensa pankkitunnuksensa hänelle soittaneelle henkilölle. Pankin tunnus- ja digisopimuksen ehtojen kohdassa 16.1 on nimenomaisesti kielletty tunnuksen tai sen osan kertominen suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Ennen ulkopuoliselle tehtyä tilisiirtoa on tehty luoton siirto asiakkaan kortilta käyttötilille ja siirto asiakkaan tililtä toiselle, mutta kyseiset varat ovat tuolloin vielä olleet asiakkaan omalla tilillä ja hän on voinut määrätä varoistaan. Varsinainen vahinko on asiakkaalle tapahtunut, kun varat on siirretty ulkopuolisen omistamalle tilille. Tämän siirron asiakas on hyväksynyt omalla tunnistussovelluksellaan sekä vielä lisävahvistanut maksun tekstiviestissä ilmoitetulla koodilla siitä huolimatta, että asiakkaan pankilta saama tekstiviesti on sisältänyt tiedon siitä, että ollaan vahvistamassa maksua ja viesti on sisältänyt tiedon myös maksun määrästä ja vastaanottajan tilinumerosta.
Kun otetaan huomioon, että asiakas on joko jättänyt lukematta pankin lähettämän vahvistuspyynnön ja tekstiviestin tai ainakin jättänyt huomioitta viestin sisällön (tieto maksun vahvistamisesta, saajan tilinumero sekä maksun määrä) ja syöttänyt maksun vahvistamiseen tarvittavan koodin, pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti.
Maksupalvelulain mukaisesti, olennaista on asiakkaan oma toiminta; suostumuksen antaminen tai törkeä huolimattomuus johtavat siihen, että vastuu reklamoiduista maksuista on asiakkaalla. Tämän vuoksi pankki katsoo, ettei pankki ole vastuussa aiheutuneesta vahingosta.
Lopputulos
Pankki katsoo ensisijaisesti, että asiakas on antanut maksulle, jolla varat siirrettiin pois hänen hallinnastaan ulkopuoliselle, maksupalvelulain 38 §:n mukaisen suostumuksen eikä kysymys ole siten oikeudettomasta maksutapahtumasta. Toissijaisesti pankki katsoo tapaukseen liittyvät yksityiskohdat ja kokonaisarvio huomioon ottaen asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti luovuttaessaan tunnuksensa kaikki osat puhelimitse sekä vahvistaessaan maksun. Yleisen tietämyksen ja pankin antamien varoitusten perusteella asiakkaan tulisi olla tietoinen tunnusten turvallisesta ja huolellisesta käytöstä ja säilyttämisestä. Pankki on korostanut sitä, ettei pankki kysy tunnuksia puhelimessa vaan näin toimii ainoastaan rikollinen.
Pankki katsoo, että korttiluotolta nostetut varat 1 999,00 euroa ovat olleet asiakkaan omassa hallinnassa sekä määräysvallassa siihen asti, kun klo 19.03 toteutuneelle tilisiirrolle on annettu maksupalvelulain mukaisesti suostumus varojen siirtämiselle ulkopuoliselle. Mikäli asiakas ei olisi antanut suostumustaan ulkopuoliselle tehtyyn tilisiirtoon, ei mitään vahinkoa olisi tapahtunut. Pankki katsoo, että asiakkaalle on aiheutunut tapauksessa vahinkoa vasta kun hän on maksupalvelulain mukaisesti hyväksynyt varojen siirrot ulkopuoliselle eikä siirto korttiluotolta käyttötilille ole suorassa syy-yhteydessä vahinkoon.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin tunnus- ja digisopimuksen ehdot (18.11.2022)
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. ulkopuoliselle henkilölle tehdylle maksutapahtumalle vai onko maksutapahtumaa pidettävä oikeudettomana. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin sekä pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on. Edelleen lautakunnan on arvioitava, vaikuttaako asiakkaan ja pankin välisen vastuunjakoon se, että pankki ei ole edellyttänyt vahvaa tunnistamista luottokortilta asiakkaan käyttötilille tehdyn verkkopankin sisäisen tilisiirron yhteydessä.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain (290/2010) 38 §:n 1 momentin mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.
Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksupalvelulain 54 §:n 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelulain 62 §:n mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Maksupalvelulain 85 c §:n 1 momentin mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1)käyttää maksutiliään tietoverkon välityksellä;
2)käynnistää sähköisen maksutapahtuman;
3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
Maksupalvelulain 85 c §:n 5 momentin mukaan
Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.
Pankin tunnus- ja digisopimusehtojen Tunnusten säilyttäminen ja sallitun käytön rajoitukset -kohdan mukaan
Sinulle luovutettu tunnus on henkilökohtainen. Tunnusta tai sen osaakaan ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos annat tunnuksen kolmannelle, vastaat kolmannen nimissäsi tekemistä toimista.
Tunnuksilla ei saa tunnistautua palveluihin, joita tarjoaa tai jossa määräysvaltaa käyttää kansainvälisten pakotteiden kohteena oleva taho. Tunnuksia ei saa myöskään käyttää lain tai hyvän tavan vastaisiin tarkoituksiin taikka muuten [pankin] julkaisemien yhteiskuntavastuuvaatimusten vastaisella tavalla.
Tunnusta tai osaa niistä et koskaan saa:
- kertoa suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessasi [pankin] puhelinpalveluun näppäilet tunnuksen omaan puhelimeesi, samoin näppäilet tunnuksen puhelimeesi, jos haluat varmentaa sinulle tulevan puhelun olevan [pankin] soittama;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille.;
- antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella etkä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.
- Käyttäjätunnuksen ja salasanan sisältävä kalvo tai muu, jolla tunnuksen osat on luovutettu, on hävitettävä eikä käyttäjätunnusta tai salasanaa saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon. Jos Tunnukset on luovutettu sähköisesti, sinun tulee itse suojata tunnukset ja varmistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisille ja, että tiedot eivät jää ulkopuolisten saataville.
Sinun tulee säilyttää tunnustasi ja sen osia huolellisesti ja erillään toisistaan siten, ettei kenelläkään ulkopuolella, ei edes samaan perheeseen kuuluvalla tai niiden käyttöön oikeudettomalla yrityksen työntekijällä ole mahdollisuutta saada niitä tietoonsa. Tunnuksen osia ei saa säilyttää samassa säilytyspaikassa kotona, eikä esimerkiksi lompakossa tai käsilaukussa.
Sinun on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että Tunnus ja sen osat ovat tallessa.
Sinun tulee kirjautuessasi [pankin] digitaalisiin palveluihin suojata laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla tunnusta käytetään siten, ettei kenelläkään ole mahdollisuutta saada tunnusta tai sen osia tietoonsa.
[Pankin] digitaalisia palveluita ei saa käyttää tietokoneella tai muulla laitteella, jossa on havaittu tai epäillään olevan haittaohjelma. Et saa myöskään luovuttaa tietokoneesi tai muun laitteesi etäkäyttöä ulkopuolisille, kun käytät laitteella tunnustasi tai sen osia.
Pankin tunnus- ja digisopimusehtojen Sinun tulee ilmoittaa tunnuksen katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan
Sinun on välittömästi ilmoitettava [pankille] tunnuksen tai sen osan katoamisesta tai joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka, jos epäilet niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun.
Voit tehdä ilmoituksen puhelimitse [pankin] osoitteessa [pankki].fi ilmoitettuun sulkupalvelun puhelinnumeroon (24h/7vrk). [Pankin] asiakaspalvelun aukioloaikoina ilmoituksen voi tehdä myös puhelimitse [pankin] ilmoittamaan puhelinnumeroon tai asioimalla henkilökohtaisesti [pankin] toimipaikoissa.
[Pankin] hyväksymien muiden tunnistusvälineiden ja varmenteiden osalta ilmoitus katoamisesta tehdään tunnistusvälineen tai varmenteen käyttöehtojen mukaisesti.
Pankin tunnus ja digisopimusehtojen Vastuu, kun olet kuluttaja-asiakas-kohdan mukaan
Vastaat Tunnusten oikeudettomasta käytöstä, jos
1. olet luovuttanut tunnuksesi niiden käyttöön oikeudettomalle,
2. tunnuksen tai sen osan katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu omasta huolimattomuudestasi tai siitä, että olet laiminlyönyt näiden ehtojen 16. tai 17. kohdan mukaiset velvollisuutesi tai
3. sinä et ole ilmoittanut [pankille] tai tunnusten Sulkupalveluun 16.1.1. kohdan mukaisesti tunnusten katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä ilman aiheetonta viivästystä sen havaittuasi ja välittömästi sen jälkeen, kun sinun olisi pitänyt havaita tunnuksesi oikeudeton käyttö. Sinun katsotaan tiliehtojen mukaan saaneen tiedon maksutapahtumasta viimeistään seitsemäntenä päivänä siitä, kun [pankki] on antanut sinulle tiedon maksutapahtumasta [pankin] digitaalisissa palveluissa tai lähettänyt sinulle paperisen tiliotteen.
Vastaat tunnuksen oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos olet luovuttanut tunnuksesi niiden käyttöön oikeudettomalle.
Asian arviointi
Pankin asiassa antamien selvitysten mukaan 23.08.2025 suoritettu 3 487,10 euron tilisiirto on vahvistettu asiakkaan omalla tunnistussovelluksella pankin asiakkaan pankkitunnuksiin liitettyyn puhelinnumeroon tekstiviestitse lähettämän lisävahvistuskoodin avulla. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.
Pankkilautakunta katsoo selvitetyksi, että asiakas on vahvistanut ko. tilisiirron asiakkaan puhelimessa olleella pankin tunnistussovelluksella. Tilisiirron toteuttaminen on edellyttänyt myös pankin tunnistussovelluksessa annettua lisävahvistusta, mikä on tarkoittanut pankin tekstiviestitse lähettämän vahvistuskoodin syöttämistä pankin mobiilisovellukseen. Pankin asiakkaalle lähettämässä tekstiviestissä on lukenut seuraavasti: ”Olet maksamassa palvelussamme 3 487,10 EUR tilille DE[XX XXXX XXXX XXXX XXXX XX]. Tarkista tiedot ja vahvista koodille #### mobiilisovelluksessa. [pankki]”. Näkymässä mobiililaitteella on lukenut, että kyseessä on maksun hyväksyntä ja lisäksi on näytetty maksun summa sekä saajan tilinumero.
Pankkilautakunta on ratkaisukäytännössään vakiintuneesti katsonut, että tapauksissa, joissa rikoksen uhri on huijattuna tullut itse hyväksyneeksi riidanalaiset maksut esimerkiksi omassa puhelimessaan olevalla pankin mobiilisovelluksella ja asiakas on ennen vahvistuksen antamista nähnyt vahvistettavan maksun tiedot, ei pankkia ole suositettu hyvittämään asiassa aiheutunutta vahinkoa asiakkaalle. Näissä tapauksissa on katsottu, että vaikka asiakas on antanut maksujen vahvistukset rikollisten harhaan johtamana, on hän kuitenkin itse antanut maksuille maksupalvelulain 38 §:ssä ja sovellettavissa ehdoissa tarkoitetun suostumuksensa, eivätkä kyseessä olevat maksutapahtumat tällöin ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia. Tämän vuoksi käsillä ei ole myöskään ollut perusteita pankin vastuulle maksuista asiakkaalle aiheutuneesta vahingosta.
Pankkilautakunnalla ei ole syytä arvioida nyt käsiteltävänä olevaa tapausta toisin. Vaikka asiakas on antanut em. vahvistuksen tilisiirrolle tultuaan rikollisten harhaan johtamaksi, tällä ei ole merkitystä asiakkaan ja pankin välisessä suhteessa. Pankkilautakunta katsoo, että asiakas on antanut maksutapahtumalle maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtuman toteuttamiseen ja lisävahvistuksensa tilisiirtoa koskevan maksutoimeksiannon toteuttamiselle. Näin ollen Pankkilautakunta katsoo, ettei kyseessä oleva 3 487,10 euron tilisiirto ole maksupalvelulaissa tarkoitetulla tavalla oikeudeton ja ettei käsillä siten ole perusteita pankin vastuulle maksusta asiakkaalle aiheutuneesta vahingosta.
Verkkopankin sisällä tehdyn oikeudettoman maksun tekeminen ilman vahvaa tunnistamista
Maksupalvelulain 8 §:ssä määritetään, mitä laissa tarkoitetaan vahvalla tunnistamisella, jota lain 85 c § edellyttää palveluntarjoajan käyttävän, jos maksaja käyttää maksutiliään tietoverkon välityksellä tai toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski. Edelleen lain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Vahvan tunnistamisen on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin (EU) 2015/2366 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa (RTS). Komission delegoidun asetuksen (EU) 2018/389 III luvussa luetellaan asiakkaan vahvaa tunnistamista koskevan periaatteen poikkeukset.
Em. asetuksen III luvun 15 artiklan, joka koskee saman luonnollisen henkilön hallussa olevien tilien välisiä tilisiirtoja, mukaan on sallittavaa, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.
Asiassa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista siinä yhteydessä, kun rikolliset ovat tehneet asiakkaan verkkopankissa 1 999 euron suuruisen tilisiirron asiakkaan luottokortilta asiakkaan käyttötilille.
Pankkilautakunta toteaa maksupalveluja ja vahvaa tunnistamista koskevan sääntelyn sallivan palveluntarjoajien tietyissä poikkeustilanteissa poikkeavan vahvan tunnistamisen vaatimuksesta ja tässä tapauksessa lautakunta katsoo, että pankki on voinut sallia verkkopankin sisäisten siirtojen tapahtuvan ilman vahvaa tunnistamista.
Vaikka sääntely tietyissä poikkeustilanteissa sallii sen, ettei maksupalveluntarjoajan ole edellytettävä maksujen yhteydessä maksajan vahvaa tunnistamista, ei maksupalvelun käyttäjä maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan kuitenkaan vastaa maksuvälineensä oikeudettomasta käytöstä, jos maksupalveluntarjoaja ei ole maksuvälineen oikeudettoman käytön yhteydessä edellyttänyt maksajan vahvaa tunnistamista. Näin ollen salliessaan maksutapahtumia tehtävän ilman maksajan vahvaa tunnistamista ottaa pankki vastuulleen riskin maksuvälineen oikeudettomasta käytöstä.
Tässä tapauksessa verkkopankin sisällä tehty 1 999 euron suuruinen tilisiirto on rikollisten oikeudettomasti tekemä ja koska pankki on sallinut siirron tekemisen ilman maksajan vahvaa tunnistamista, vastaa pankki tästä siirrosta.
Pankkilautakunta toteaa, että asiassa aiheutunut vahinko on realisoitunut, kun asiakas on edellä esitetyn tavoin antanut maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa 3 487,10 euron suuruisen maksutapahtuman toteuttamiselle, minkä takia asiakas lähtökohtaisesti vastaa maksuista aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.
Tapauksessa saadun kokonaisselvityksen perusteella Pankkilautakunta kuitenkin katsoo, että asiassa aiheutuneen vahingon määrään on vaikuttanut em. maksua ennen tehty verkkopankin sisäinen 1 999 euron siirto ja se, että pankki on sallinut kyseisen oikeudettoman siirron tekemisen ilman vahvaa tunnistamista. Pankkilautakunta katsoo asiassa aiheutuneen vahingon kuuluvan 1 999 euron osalta pankin vastuulle.
Luottokorttilasku
Asiakas on vaatinut pankkia korvaamaan myös 115,97 euron suuruisen luottokorttilaskun, joka on oletettavasti aiheutunut 1 999 euron siirrosta luottokortilta.
Pankkilautakunta katsoo, että asiakkaan vaatimus luottokorttilaskun korvaamisesta on päällekkäinen 1 999 euron luotolta tehdyn siirron vaatimuksen kanssa, eikä vaatimukselle ole siten perusteita.
Lopputulos
Pankkilautakunta katsoo asiakkaan antaneen ko. 3 487,10 euron tilisiirrolle maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ja asiakkaan siten lähtökohtaisesti vastaavan tilisiirrosta aiheutuneesta vahingosta pankin ja asiakkaan välisessä suhteessa. Edelleen lautakunta katsoo, että vahingon kokonaismäärään on vaikuttanut verkkopankin sisällä ennen em. maksua tehty 1 999 euron suuruinen tilisiirto asiakkaan luottokortilta asiakkaan käyttötilille. Koska pankki on sallinut kyseisen tilisiirron tekemisen ilman vahvaa tunnistamista ja siirto on oikeudeton, vastaa pankki kyseisestä tilisiirrosta ja asiassa aiheutuneesta vahingosta siltä osin kuin kyseinen siirto on vahingon kokonaismäärää lisännyt. Oikeudettomalla asiakkaan omien tilien välisellä tilisiirrolla vahingon määrä on lisääntynyt 1 999 eurolla.
Edellä esitettyyn viitaten Pankkilautakunta suosittaa pankkia hyvittämään 1 999 euroa luottokortille, jolta em. oikeudeton tilisiirto ilman vahvaa tunnistamista tehtiin.
Ratkaisusuositus syntyi äänin 4–1. Ratkaisusuosituksen antamiseen osallistuivat puheenjohtaja Sillanpää sekä jäsenet Atrila, Punakivi ja Tervonen. Jäsen Ketolan eriävä mielipide on liitteenä.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Pöntinen
Jäsenet: Atrila, Ketola, Punakivi, Tervonen
Jäsen Ketolan eriävä mielipide
Olen Pankkilautakunnan enemmistön kanssa eri mieltä ratkaisusuosituksen perusteluista ja lopputuloksesta siltä osin kuin Pankkilautakunnan enemmistö katsoo pankin olevan vastuussa vahingosta siltä osin kuin verkkopankin sisäinen oikeudeton siirto ilman vahvaa tunnistamista on lisännyt vahingon kokonaismäärää.
Asian kannalta merkitykselliset lainsäännökset ovat maksupalvelulain 38 § (Maksajan suostumus maksutapahtuman toteuttamiseen), maksupalvelulain 85 c §:n 1 ja 5 momentti (Tunnistaminen), komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artikla (Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot), maksupalvelulain 62 §:n 3 momentin 4 kohta (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) sekä maksupalvelulain 63 §:n 1 momentti (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta).
Olen samaa mieltä Pankkilautakunnan enemmistön kanssa sen osalta kuin ratkaisusuosituksessa on käsitelty asiakkaan suostumusta rikollisille tehdyn tilisiirron osalta. Kyseessä oleva maksutapahtuma ei ole maksupalvelulaissa tarkoitetulla tavalla oikeudeton ja tämän vuoksi tapauksessa ei ole laissa säänneltyjä perusteita pankin vastuulle tästä maksusta asiakkaalle aiheutuneesta vahingosta. Pankkilautakunnan enemmistöstä poiketen katson, että maksupalvelulain 63 §:n mukainen palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta on säädetty maksutapahtumakohtaiseksi eikä maksupalvelulaki tunnista vastuunjakoarvioinnissa kokonaisselvitykseen perustuvaa harkintaa.
Tapauksessa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista rikollisten tekemän asiakkaan hallussa olevien tiilien välisen tilisiirron yhteydessä komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artiklan perusteella. Maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista. Tarkasteltavan verkkopankissa tehdyn oikeudettoman tilien välisen siirron perusteella asiakkaalle ei kuitenkaan ole syntynyt varallisuusvahinkoa, jonka pankki olisi maksupalvelulain 62 §:n 3 momentin 4 kohdan perusteella velvollinen korvaamaan asiakkaalle. Siirto on tehty sellaisten tilien välillä, joissa asiakas on tilinomistaja ja siirron jälkeen varat ovat olleet edelleen kokonaisuudessaan asiakkaan vallinnassa. Vahinkoedellytyksen täyttymiseksi varojen olisi tullut kyseisen oikeudettoman siirron jälkeen päätyä kolmannen osapuolen haltuun. Koska vahingon edellytyksenä on ollut asiakkaan suostumuksella myöhemmin tehty maksutapahtuma, asiakkaan hallussa olevien tilien välinen oikeudeton siirto ei ole riittävässä syy-yhteydessä aiheutuneeseen vahinkoon, vaan syy-yhteys on katkennut, kun asiakas on antanut suostumuksensa maksutapahtumalle. Vaikka pankki ottaisi vastuulleen riskin maksuvälineen oikeudettomasta käytöstä jättäessään vaatimatta vahvaa tunnistamista, riski ei verkkopankissa tehdyssä sisäisessä siirrossa voi realisoitua vahingoksi, koska varoja siirretään ainoastaan asiakkaan hallussa olevien tilien välillä. Maksupalvelulain nojalla maksutapahtumia tulee arvioida erillisinä tapahtumina, jolloin on selvää, ettei sisäisestä siirrosta aiheudu korvattavaa vahinkoa.
Pankki palveluntarjoajana on nimenomaisesti edellyttänyt vahvaa tunnistamista sen maksutapahtuman osalta, jolla varat on siirretty kolmannen osapuolen haltuun ja jolla vahinko on realisoitunut. Asiakkaalle aiheutunut vahinko ei siten ole seurausta maksuvälineen oikeudettomasta käytöstä, vaan asiakas on antanut maksupalvelulain 38 §:n mukaisen suostumuksensa maksutapahtuman toteuttamiselle. Asiakkaan maksutapahtumalle antamalle suostumukselle on annettava sama merkitys riippumatta siitä, siirretäänkö tilillä alun perin olleita varoja tai sinne verkkopankin sisäisen siirron kautta siirrettyjä varoja. Pankkilautakunnan enemmistön näkemyksen mukainen tulkinta asettaisi eriarvoiseen asemaan sellaiset asiakkaat, joiden koko tilivarallisuus on verkkopankissa vain yhdellä tilillä.
Lopputulos
Katson, että vahinko on aiheutunut maksupalvelulain 38 §:n mukaisella asiakkaan suostumuksella tehdyn maksutapahtuman seurauksena, jota ei ole pidettävä oikeudettomana. Asiakkaan hallussa olevien tilien välinen ilman vahvaa tunnistamista tehty oikeudeton siirto ei ole riittävässä syy-yhteydessä asiakkaan myöhemmin vahvistamalla siirrolla hänelle aiheutuneeseen vahinkoon. Pankkilautakunnan enemmistön kannan hyväksyminen merkitsisi sitä, että asiakkaan omalla toiminnalla ei olisi merkitystä vastuunjaon arvioinnissa, eikä tällainen malli olisi rikoksentorjunnan kannalta tarkoituksenmukainen.
Edellä todetuin perustein katson, että pankki ei vastaa kyseisestä tilisiirrosta ja asiassa aiheutuneesta vahingosta miltään osin, eikä Pankkilautakunnan tulisi suosittaa pankkia hyvittämään 1 999 euroa.