Tapahtumatiedot
Asiakas on saanut 10.6.2025 puhelun pankin toimihenkilönä esiintyneeltä henkilöltä ja joutunut näin huijauksen uhriksi.
Rikolliset ovat päässeet kirjautumaan asiakkaan verkkopankkiin ja tekemään ensin 10.6.2025 klo 16.17-16.43 asiakkaan käyttötililtä -69 kyproslaisille tileille neljä tilisiirtoa yhteisarvoltaan 3.245,39 euron. Tämän jälkeen klo 17.02 asiakkaan joustoluotolta on siirretty hänen käyttötililleen 3.454,32 euroa ja käyttötililtä vielä 997,32 euroa kyproslaiselle tilille. Asiakkaan ja B:n yhteiseltä käyttötililtä -85 on tehty klo 16.50-17.01 kolme tilisiirtoa kyproslaiselle tilille yhteisarvoltaan 2 986,09 euroa. B:n käyttötililtä -77, johon asiakkaalla on käyttöoikeus, on tehty klo 16.46-17.08 kolme siirtoa yhteisarvoltaan 2.244,51 euroa kyproslaiselle tilille. Tämän jälkeen klo 17.09 on asiakkaan käyttötililtä -69 siirretty 2.314,43 euroa B:n käyttötilille ja klo 17.12 B:n käyttötililtä on siirretty 1.135,42 euroa C:n tilille -26, johon asiakkaalle on käyttöoikeus.
Asiakkaan käytössä olevien tilien välisten siirtojen (ml. asiakkaan joustoluotolta tehdyn siirron) yhteydessä pankki ei ole edellyttänyt maksajan vahvaa tunnistamista. Tilisiirrot ulkopuolisille on vahvistettu asiakkaan tunnistussovelluksessa pankin asiakkaalle lähettämissä maksujen vahvistamista koskevissa tekstiviesteissä olleilla koodeilla.
Pankki on lukinnut asiakkaan käyttäjätunnukset turvallisuussyistä 10.6.2025 klo 18:02.
Asiakkaan valitus
Rahaa on viety asiakkaan tililtä yli 7.000 euroa ja myös joustoluotolta 3.454.00 euroa. Asiakas vaatii pankkia korvaamaan joustotililtä nostetun summan 3.454.00 euroa, joka ei ollut asiakkaan tilillä. Asiakas oli maksanut sen vuosia sitten eikä pankki koskaan kertonut, onko sellainen luotto, jota ei ole koskaan nostettu, turvassa.
Asiakkaalle soitettiin 10.6.2025 pankista ja ilmoitettiin, että asiakkaan tili on vaarassa. Asiakkaalta kysyttiin, onko hyväksynyt nostot, mihin asiakas sanoi ettei ole. Kysyttäessä asiakas sanoi haluavansa estää nostot. Soittaja ainoastaan pyysi painamaan puhelimesta nro 1 ja niin Pankin viesti -osioon tuli pankilta tekstiviestinä koodi, mikä täytyi hyväksyä, että tilinostot peruuntuvat.
Asiakas ei ole nostoja hyväksynyt. Missään vaiheessa asiakas ei ollut pankin sivuilla eikä antanut mitään pankkitunnuksia eikä nimeään, eikä niitä kysytty. Kuitenkin soittaja tiesi asiakkaan nimen ja osoitteen, vaikka asiakas oli muuttanut asuntoon noin kuukausi ennen. Vaimo istui vierellä keittiön pöydän vieressä eli minkäänlaista nettisivua ei ollut, eikä oltu missään vaiheessa pankin sivuilla vaan asiakas puhui koko ajan puhelimessa pankkivirkailijan kanssa.
Asiakas on hyväkuntoinen ja muisti pelaa. Vaikka on ikää, pystyy hän hoitamaan asiansa. Kun puhelu loppui, asiakas meni pankin sivulle ja huomasi suuria summia hävinneen. Hän soitti heti sulkupalveluun ja seuraavana aamuna meni pankkiin ja siellä luvattiin yrittää saada rahat takaisin. Asiakas teki rikosilmoituksen.
Pankki ei korvaa mitään, koska väittävät että asiakas on ollut huolimaton, antanut tietojaan ja hyväksynyt. Tämä väite on valetta, koska asiakas ei ole antanut tietojaan kenellekään.
Pankin vastine
Asiakas on ottanut yhteyttä FINEen koskien pankkitunnuksillaan 10.6.2025 tehtyjä tilisiirtoja, oman ilmoituksen mukaisesti, yhteensä 7 228,20 eurolla. Pankin selvityksen mukaisesti tilisiirtoja on tehty yhteensä 9.473,31 euroa. Asiakas vaatii pankilta joustoluototta nostettua määrää, 3.454,00 euroa.
Selvitys tapahtuneesta
Asiakkaan tileiltä on tehty tilisiirtoja, jotka on vahvistettu asiakkaan tunnistusvälineellä. Pankki on lähettänyt asiakkaan tunnuksiin liitettyyn puhelinnumeroon asiasta vahvistusviestejä. Vahvistusviestit ovat sisältäneet tiedot maksujen summista, saajien tilinumeroista sekä lisävahvistuskoodeista. Viesteissä on selkeästi kerrottu, että olet maksamassa kyseisiä summia. Maksut tehneellä on täytynyt siis olla hallussaan asiakkaan tunnusten kaikki osat eli käyttäjätunnus, salasana, tunnistusväline sekä asiakkaalta tekstiviesteillä pyydetyt lisävahvistuskoodit.
Pankki ei valitettavasti voi korvata aiheutunutta vahinkoa. Pankki katsoo, että asiakas on lain ja sopimusehtojen nojalla itse vastuussa tunnustensa käytöstä, kun on hyväksynyt tapahtumat tunnistusvälineellään sekä lisävahvistuskoodeilla.
Pankin selvityksen mukaan käyttötililtä -69 on 10.6.2025 siirretty yhteensä 3 245,39 euroa kahdelle eri kyproslaiselle tilille. Tämän jälkeen asiakkaan tilille on siirretty hänen Joustoluotoltaan 3 454,32 euroa ja siirretty vielä 997,32 euroa kyproslaiselle tilille. Lisäksi tililtä on siirretty 2 314,43 euroa B:n tilille -1477, johon asiakkaalla on käyttöoikeus.
Asiakkaan ja B:n yhteiseltä käyttötililtä -85 on 10.6.2025 siirretty yhteensä 2 986,09 euroa kyproslaiselle tilille. B:n käyttötililtä -77, johon asiakkaalla on käyttöoikeus, on 10.6.2025 siirretty yhteensä 2 244,51 euroa. Tämän jälkeen tilille on siirretty 2 314,43 euroa asiakkaan käyttötililtä -1469 sekä siirretty 1 135,42 euroa C:n tilille FI39 -26, johon asiakkaalle on käyttöoikeus.
Tileiltä menetettyjä varoja on yhteensä 9 473,31 euroa. Tilisiirrot on tehty seuraavin tiedoin:
Tililtä -69 tehdyt siirrot:
| Pvm. | 10.06.2025 klo 16:17 |
| Summa | 253,43 euroa |
| Saaja | Y |
| Saajan tili | CYxx xxxx xxxx xxxx xxxx xxxx xxxx |
| Pvm. | 10.06.2025 klo 16:37-17:05 |
| Siirtoja | 4 kpl |
| Summa | 3 989,28 euroa |
| Saaja | Z |
| Saajan tili | CYxx xxxx xxxx xxxx xxxx xxxx xxxx |
Tililtä -85 tehdyt siirrot:
| Pvm. | 10.06.2025 klo 16:50-17:01 |
| Siirtoja | 3 kpl |
| Summa | 2 986,09 euroa |
| Saaja | Z |
| Saajan tili | CYxx xxxx xxxx xxxx xxxx xxxx xxxx |
Tililtä -77 tehdyt siirrot:
| Pvm. | 10.06.2025 klo 16:46-17:08 |
| Siirtoja | 3 kpl |
| Summa | 2 244,51 euroa |
| Saaja | Z |
| Saajan tili | CYxx xxxx xxxx xxxx xxxx xxxx xxxx |
Pankki on lähettänyt asiakkaan tunnuksiin liitettyyn puhelinnumeroon turvallisuussyistä 13 tekstiviestiä, jotka ovat olleet seuraavanlaisia:
10.6.2025 klo 16.13.10
Olet maksamassa palvelussamme 253,43 EUR tilille CYxx xxxx xxxx xxxx xxxx xxxx xxxx. Tarkista tiedot ja vahvista koodilla 8100 mobiilisovelluksessa. [pankki]
10.6.2025 klo 16.36.06
Olet maksamassa palvelussamme 997,32 EUR tilille CYxx xxxx xxxx xxxx xxxx xxxx xxxx. Tarkista tiedot ja vahvista koodilla 1061 mobiilisovelluksessa. [pankki]
10.6.2025 klo 16.47.42
Olet maksamassa palvelussamme 994,55 EUR tilille CYxx xxxx xxxx xxxx xxxx xxxx xxxx. Tarkista tiedot ja vahvista koodilla 7391 mobiilisovelluksessa. [pankki]
10.6.2025 klo 17.03.45
Olet maksamassa palvelussamme 997,32 EUR tilille CYxx xxxx xxxx xxxx xxxx xxxx xxxx. Tarkista tiedot ja vahvista koodilla 2115 mobiilisovelluksessa. [pankki]
Maksut tehneellä on siis täytynyt olla tiedossaan asiakkaan tunnusten kaikki osat eli käyttäjätunnus, salasana, tunnistusväline sekä puhelinnumeroosi lähetettyjen lisävahvistusviestien sisältämät lisävahvistuskoodit. Tapahtumat on vahvistettu asiakkaan omalla tunnistusvälineellä.
FINE:n pyynnön mukaisesti pankki on toimittanut erillisenä liitteenä listaus maksutapahtumista kellonaikoineen. Asiakkaan itsensä hakemaa Joustoluottoa on nostettu 3.454,32 euroa asiakkaan omalle -1469 loppuiselle käyttötilille. Nostossa ei ole edellytetty SCA:ta. Asiakas voi nostaa joustoluoton pankissa olevalle käyttötilille. Noston jälkeen varat ovat edelleen olleet asiakkaan hallinnassa, omalla käyttötilillään.
Sääntely ja sopimusehdot ja perustelut
Pankki viittaa maksupalvelulain 38, 53 §:n ja 62 §:iin sekä pankin tunnus- ja digisopimuksen ehtoihin.
Pankki korostaa kaikessa viestinnässään sekä sopimuksen tekovaiheessa, että tunnukset ovat henkilökohtaiset, eikä niitä saa luovuttaa kenellekään. Sopimuksen tekemisen yhteydessä asiakkaalle on sopimuksen sekä ehtojen lisäksi annettu Tärkeää tietoa tunnuksista -asiakirja, jossa on annettu yksinkertaiset turvallisuusohjeet tunnusten käyttämisestä.
Väärinkäytösten ehkäisemiseksi pankki on aktiivisesti varoittanut asiakkaitaan verkkopalvelutunnusten kalastelukampanjoista muun muassa seuraavilla verkkosivujensa tiedotteilla 21.03.2025, 31.01.2025, 20.12.2024, 19.12.2024 ja 26.09.2024.
Asian arviointi
Pankki on useaan otteeseen varoittanut asiakkaitaan erilaisista tietojenkalasteluista ja huijauksista. Pankki katsoo, että yleisen tietämyksen ja pankin antamien varoitusten perusteella asiakkaan tulisi olla tietoinen tunnusten turvallisesta ja huolellisesta käytöstä ja säilyttämisestä. Pankki on aina korostanut, ettei tunnuksen osia saa luovuttaa ulkopuolisille, ei edes perheenjäsenille. Pankki on korostanut sitä, ettei pankki tai poliisi kysy tunnuksia puhelimessa, vaan näin toimii ainoastaan rikollinen.
Tapauksessa tileiltä tehdyt siirrot on vahvistettu asiakkaan tunnistusvälineellä. Maksujen vahvistamiseksi pankki on lähettänyt asiakkaan tunnukseen liitettyyn puhelinnumeroon tekstiviestejä. Maksut ovat vahvistettu lisävahvistuskoodeilla, asiakkaan tunnistusvälineessä toistamiseen. Vahvistusviestit ovat sisältäneet tiedot maksujen summista, maksujen saajien tilinumeroista sekä lisävahvistuskoodeista. Viesteissä on selvästi kerrottu, että olet maksamassa kyseisiä summia. Maksut tehneellä taholla on täytynyt olla hallussaan asiakkaan pankkitunnusten kaikki osat, eli käyttäjätunnus, salasana, tunnistusväline sekä tekstiviesteillä pyydetyt lisävahvistuskoodit. Näin ollen asiakas on itse hyväksynyt tileiltä tehdyt siirrot ja antanut näin maksupalvelulain 38 §:n mukaisen suostumuksen tapahtumien toteuttamiselle. Pankki ei ole asiassa toiminut petollisesti, ja suostumus pankille on annettu lain ja pankki sopimusehtojen mukaisesti, joten pankki on voinut luottaa maksuille annettuun suostumukseen.
Tämän vuoksi pankki katsoo, etteivät asiakkaan vastuulle jäävät tapahtumat ole maksupalvelulain mukaisesti oikeudettomia, eikä näin ollen ole vastuussa aiheutuneesta vahingosta. Tapaukseen liittyvät yksityiskohdat ja kokonaisarviointi huomioon ottaen pankki katsoo myös, että asiakkaan menettelyä kokonaisuutena arvioituna on pidettävä sellaisena, että pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Tutkintailmoitus (Ilmoitusaika 13.6.2025 klo 9.49)
- Tilitapahtumat 10.6.2025
- pankin tunnuksen ja digisopimuksen ehdot
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. maksutapahtumille vai onko maksutapahtumia pidettävä oikeudettomina. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on. Edelleen lautakunnan on arvioitava, vaikuttaako asiakkaan ja pankin väliseen vastuunjakoon se, että pankki ei ole edellyttänyt maksajan vahvaa tunnistamista verkkopankin sisäisten siirtojen yhteydessä.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 8 §:n (Määritelmät.) mukaan
Tässä laissa tarkoitetaan:
[…]
24) vahvalla tunnistamisella maksupalvelun käyttäjän sähköistä tunnistamista, jossa suojataan tunnistamistiedon luottamuksellisuutta ja käytetään menettelyä, joka perustuu vähintään kahteen seuraavista kolmesta toisistaan riippumattomasta vaihtoehdosta:
a) johonkin, mitä vain maksupalvelun käyttäjä tietää;
b) johonkin, mitä vain maksupalvelun käyttäjällä on hallussaan;
c) maksupalvelun käyttäjän yksilöivään ominaisuuteen;
[…]
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 5 momenttien mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1)käyttää maksutiliään tietoverkon välityksellä;
2)käynnistää sähköisen maksutapahtuman;
3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
[…]
Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.
Pankin tunnus- ja digisopimuksen ehtojen (jäljempänä pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Tunnusten säilyttämistä ja sallitun käytön rajoitukset -kohdan mukaan
Henkilöasiakkaalle luovutetut Tunnukset ovat henkilökohtaiset. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos asiakas antaa Tunnuksensa kolmannelle, asiakas vastaa kolmannen hänen nimissään tekemistä toimista.
[…]
Tunnuksia tai osaa niistä ei koskaan saa:
- kertoa suullisesti niitä puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessaan [pankin] puhelinpalveluun asiakas näppäilee Tunnukset puhelimeen. Palveluntarjoaja tai muut [pankkiryhmän] yritykset eivät koskaan soita asiakkaalle ja pyydä kertomaan tai näppäilemään Tunnuksia;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille;
- käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissivulle on lähetetty Asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.
Käyttäjätunnuksen ja salasanan sisältävä kalvo on hävitettävä eikä käyttäjätunnusta tai salasanaa saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon. Jos Tunnukset on luovutettu sähköisesti, Asiakkaan tulee itse suojata tunnukset ja varmistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisille ja että tiedot eivät jää ulkopuolisten saataville.
Tunnuksia on säilytettävä huolellisesti ja erillään toisistaan siten, ettei kenelläkään, ei edes samaan perheeseen kuuluvalla tai niiden käyttöön oikeudettomalla yrityksen työntekijällä ole mahdollisuutta saada niitä tietoonsa. Tunnusten osia ei saa säilyttää samassa säilytyspaikassa kotona, eikä esimerkiksi lompakossa tai käsilaukussa.
Asiakkaan on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että Tunnukset ovat tallessa.
Asiakkaan on [pankki]-verkkopalveluihin kirjautuessaan suojattava laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla Tunnuksia käytetään siten, ettei kenelläkään ole mahdollisuutta saada Tunnuksia tietoonsa
[…]
Pankin tunnus- ja digisopimusehtojen Ilmoitus Tunnusten katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan
Asiakkaan on välittömästi ilmoitettava Palveluntarjoajalle Tunnusten katoamisesta tai niiden joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka jos asiakas epäilee niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun.
[…]
Asian arviointi
Tapahtumienkulku
Pankkilautakunta katsoo tapauksessa selvitetyksi, että asiakas on tullut puhelimessa rikollisten harhaan johtamaksi ja luullessaan estävänsä tililtään tehtäviä nostoja asiakas on vahvistanut pankin mobiilisovelluksessa pankin asiakkaalle lähettämissä tekstiviesteissä olleilla koodeilla rikollisten asiakkaan verkkopankissa luomat yhteensä 9.473,31 euron maksut ulkopuolisille.
Pankkilautakunta on ratkaisukäytännössään vakiintuneesti katsonut, ettei pankki ole velvollinen hyvittämään asiakkaalle aiheutunutta vahinkoa tapauksissa, joissa rikoksen uhri on huijattuna tullut itse hyväksyneeksi riidanalaiset maksut esimerkiksi omassa puhelimessaan olevalla pankin mobiilisovelluksella ja sovelluksessa on ennen vahvistusten antamista näkynyt vahvistettavien maksujen tiedot. Näissä tapauksissa on katsottu, että vaikka asiakas on antanut maksujen vahvistukset rikollisten harhaan johtamana, on hän kuitenkin itse antanut maksuille maksupalvelulain 38 §:ssä ja sovellettavissa ehdoissa tarkoitetun suostumuksensa, eivätkä kyseessä olevat maksutapahtumat tällöin ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia. Tämän vuoksi käsillä ei ole myöskään ollut perusteita pankin vastuulle maksuista asiakkaalle aiheutuneesta vahingosta.
Vaikka tässä tapauksessa pankki ei ole nimenomaisesti selvittänyt, mitä asiakkaan pankin mobiilisovelluksessa on kunkin maksun kohdalla näkynyt, näyttää pankki Pankkilautakunnan tietojen mukaan sovelluksessaan asianmukaisesti maksun tiedot sekä tavanomaisessa maksunvahvistuspyynnössä että maksun lisävahvistuspyynnössä. Lisäksi asiakkaan vastaanottamissa maksunvahvistamista koskevissa ja vahvistuskoodit sisältäneissä tekstiviesteissä on pankin selvityksen mukaan näkynyt hyväksyttävän maksun euromäärä ja saajan tilinumero sekä toteamus: ”Olet maksamassa palvelussamme..”. Pankkilautakunta katsookin, ettei asiaa ole syytä arvioida toisin kuin lautakunta on edellä esitetyllä tavalla arvioinut tapauksissa, joissa maksun tiedot ovat näkyneet pankin mobiilisovelluksessa.
Pankkilautakunta katsoo, että asiakas on antanut maksutapahtumille maksupalvelulain 38 §:ssä ja sovellettavissa ehdoissa tarkoitetun suostumuksensa maksutapahtumien toteuttamiseen. Vaikka asiakas on antanut em. vahvistukset maksuille tultuaan rikollisten harhaan johtamaksi, ei tällä ole merkitystä asiakkaan ja pankin välisessä suhteessa. Näin ollen lautakunta katsoo, etteivät kyseessä olevat maksutapahtumat ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia ja ettei käsillä siten lähtökohtaisesti ole perusteita pankin vastuulle maksuista asiakkaalle aiheutuneesta vahingosta.
Verkkopankin sisällä tehdyn oikeudettoman tilisiirron tekeminen ilman vahvaa tunnistamista
Maksupalvelulain 8 §:ssä määritetään, mitä laissa tarkoitetaan vahvalla tunnistamisella, jota lain 85 c § edellyttää palveluntarjoajan käyttävän, jos maksaja käyttää maksutiliään tietoverkon välityksellä tai toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski. Edelleen lain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Vahvan tunnistamisen on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin (EU) 2015/2366 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa (RTS). Komission delegoidun asetuksen (EU) 2018/389 III luvussa luetellaan asiakkaan vahvaa tunnistamista koskevan periaatteen poikkeukset.
Em. asetuksen III luvun 15 artiklan, joka koskee saman luonnollisen henkilön hallussa olevien tilien välisiä tilisiirtoja, mukaan on sallittavaa, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.
Tapauksessa saadun selvityksen perusteella pankki ei ole edellyttänyt maksajan vahvaa tunnistamista siinä yhteydessä, kun rikolliset ovat tehneet asiakkaan verkkopankissa 10.6.2025 klo 17.02 3.454,32 euron siirron asiakkaan joustotililtä asiakkaan käyttötilille, klo 17.09 2.314,43 euron siirron asiakkaan käyttötililtä B:n tilille ja klo 17.12 klo 1.135,42 euron siirron B:n tililtä C:n tilille.
Pankkilautakunta toteaa maksupalveluja ja vahvaa tunnistamista koskevan sääntelyn sallivan palveluntarjoajien tietyissä poikkeustilanteissa poikkeavan vahvan tunnistamisen vaatimuksesta ja tässä tapauksessa lautakunta katsoo, että pankki on voinut sallia verkkopankin em. sisäisten siirtojen tapahtuvan ilman vahvaa tunnistamista.
Vaikka sääntely tietyissä poikkeustilanteissa sallii sen, ettei maksupalveluntarjoajan ole edellytettävä maksujen yhteydessä maksajan vahvaa tunnistamista, ei maksupalvelun käyttäjä maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan kuitenkaan vastaa maksuvälineensä oikeudettomasta käytöstä, jos maksupalveluntarjoaja ei ole maksuvälineen oikeudettoman käytön yhteydessä edellyttänyt maksajan vahvaa tunnistamista. Näin ollen salliessaan maksutapahtumia tehtävän ilman maksajan vahvaa tunnistamista ottaa pankki vastuulleen riskin maksuvälineen oikeudettomasta käytöstä.
Tässä tapauksessa asiakkaan verkkopankin sisällä tehdyt em. siirrot asiakkaan käytössä olevien tilien välillä ovat rikollisten oikeudettomasti tekemiä ja koska pankki on sallinut siirtojen tekemisen ilman maksajan vahvaa tunnistamista, vastaa pankki näistä siirrosta.
Tapauksessa saadun selvityksen perusteella kahden jälkimmäisen verkkopankin sisäisen siirron jälkeen ei ole tehty siirtoja ulkopuolisille ja näin ollen näiden sisäisten siirtojen ei voida katsoa vaikuttaneen asiassa aiheutuneen vahingon määrään. Pankkilautakunta kuitenkin katsoo, että asiassa aiheutuneen vahingon määrään on vaikuttanut ennen viimeistä asiakkaan tililtä -69 ulkopuoliselle klo 17.05 tehtyä 997,32 euron siirtoa verkkopankissa klo 17.02 asiakkaan joustoluotolta tehty 3.454,32 euron sisäinen siirto asiakkaan tilille ja se, että pankki on sallinut kyseisen oikeudettoman siirron tekemisen ilman vahvaa tunnistamista. Pankki ei ole vedonnut siihen, että asiakkaan käyttötilillä olisi ollut ennen em. joustoluotolta tehtyä siirtoa ja tililtä ulkopuolisille tehtyjen kolmen ensimmäisen siirron jälkeen varoja, tai antanut tilin saldosta selvitystä. Pankkilautakunta katsoo näin ollen, että em. siirto joustoluotolta on ollut edellytyksenä sille, että asiakkaan käyttötililtä on tämän jälkeen voitu vielä tehdä viimeinen 997,32 euron siirto ulkopuoliselle. Koska pankki on sallinut tämän tilisiirron tekemisen ilman vahvaa tunnistamista ja siirto on ollut oikeudeton, vastaa pankki kyseisestä tilisiirrosta ja asiassa aiheutuneesta vahingosta kyseisen tilisiirron määrän osalta.
Lopputulos
Pankkilautakunta katsoo asiakkaan antaneen ko. ulkopuolisille tehdyille tilisiirroille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ja asiakkaan siten vastaavan tilisiirroista aiheutuneesta vahingosta pankin ja asiakkaan välisessä suhteessa. Edelleen lautakunta kuitenkin katsoo, että vahingon kokonaismäärään on vaikuttanut verkkopankin sisällä tehty 997,32 euron siirto asiakkaan joustoluotolta asiakkaan käyttötilille. Koska pankki on sallinut kyseisen siirron tekemisen ilman vahvaa tunnistamista ja siirto on oikeudeton, vastaa pankki kyseisestä tilisiirrosta ja asiassa aiheutuneesta vahingosta siltä osin kuin kyseinen siirto on vahingon kokonaismäärää lisännyt.
Edellä esitettyyn viitaten Pankkilautakunta suosittaa pankkia hyvittämään 997,32 euroa luottotilille, jolta em. oikeudeton tilisiirto ilman vahvaa tunnistamista tehtiin.
Ratkaisusuositus syntyi äänin 4–1. Ratkaisusuosituksen antamiseen osallistuivat puheenjohtaja Sillanpää sekä jäsenet Atrila, Punakivi ja Tervonen. Jäsen Ketolan eriävä mielipide on liitteenä.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Atrila
Ketola
Punakivi
Tervonen
Jäsen Ketolan eriävä mielipide:
Olen Pankkilautakunnan enemmistön kanssa eri mieltä ratkaisusuosituksen perusteluista ja lopputuloksesta siltä osin kuin Pankkilautakunnan enemmistö katsoo pankin olevan vastuussa vahingosta niiltä osin kuin verkkopankin sisäinen oikeudeton siirto ilman vahvaa tunnistamista on lisännyt vahingon kokonaismäärää.
Asian kannalta merkitykselliset lainsäännökset ovat maksupalvelulain 38 § (Maksajan suostumus maksutapahtuman toteuttamiseen), maksupalvelulain 85 c §:n 1 ja 5 momentti (Tunnistaminen), komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artikla (Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot), maksupalvelulain 62 §:n 3 momentin 4 kohta (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) sekä maksupalvelulain 63 §:n 1 momentti (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta).
Olen samaa mieltä Pankkilautakunnan enemmistön kanssa sen osalta kuin ratkaisusuosituksessa on käsitelty asiakkaan suostumusta rikollisille tehtyjen tilisiirtojen osalta. Kyseessä olevat maksutapahtumat eivät ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia ja tämän vuoksi tapauksessa ei ole laissa säänneltyjä perusteita pankin vastuulle näistä maksuista asiakkaalle aiheutuneesta vahingosta. Pankkilautakunnan enemmistöstä poiketen katson, että maksupalvelulain 63 §:n mukainen palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta on säädetty maksutapahtumakohtaiseksi eikä maksupalvelulaki tunnista vastuunjakoarvioinnissa kokonaisselvitykseen perustuvaa harkintaa.
Tapauksessa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista rikollisten tekemän asiakkaan hallussa olevien tiilien välisen tilisiirron yhteydessä komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artiklan perusteella. Maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista. Tarkasteltavan oikeudettoman tilien välisen siirron perusteella asiakkaalle ei kuitenkaan ole syntynyt varallisuusvahinkoa, jonka pankki olisi maksupalvelulain 62 §:n 3 momentin 4 kohdan perusteella velvollinen korvaamaan asiakkaalle. Siirto on tehty sellaisten tilien välillä, joissa asiakas on tilinomistaja ja siirron jälkeen varat ovat olleet edelleen kokonaisuudessaan asiakkaan vallinnassa. Vahinkoedellytyksen täyttymiseksi varojen olisi tullut kyseisen oikeudettoman siirron jälkeen päätyä kolmannen osapuolen haltuun. Koska vahingon edellytyksenä on ollut asiakkaan suostumuksella myöhemmin tehty maksutapahtuma, asiakkaan hallussa olevien tilien välinen oikeudeton siirto ei ole riittävässä syy-yhteydessä aiheutuneeseen vahinkoon, vaan syy-yhteys on katkennut kun asiakas on antanut suostumuksensa maksutapahtumalle. Vaikka pankki ottaisi vastuulleen riskin maksuvälineen oikeudettomasta käytöstä jättäessään vaatimatta vahvaa tunnistamista, riski ei verkkopankissa tehdyssä sisäisessä siirrossa voi realisoitua vahingoksi, koska varoja siirretään ainoastaan asiakkaan hallussa olevien tilien välillä. Maksupalvelulain nojalla maksutapahtumia tulee arvioida erillisinä tapahtumina, jolloin on selvää, ettei sisäisestä siirrosta aiheudu korvattavaa vahinkoa.
Pankki palveluntarjoajana on nimenomaisesti edellyttänyt vahvaa tunnistamista sen maksutapahtuman osalta, jolla varat on siirretty kolmannen osapuolen haltuun ja jolla vahinko on realisoitunut. Asiakkaalle aiheutunut vahinko ei siten ole seurausta maksuvälineen oikeudettomasta käytöstä, vaan asiakas on antanut maksupalvelulain 38 §:n mukaisen suostumuksensa maksutapahtuman toteuttamiselle. Asiakkaan maksutapahtumalle antamalle suostumukselle on annettava sama merkitys riippumatta siitä, siirretäänkö tilillä alun perin olleita varoja tai sinne verkkopankin sisäisen siirron kautta siirrettyjä varoja. Pankkilautakunnan enemmistön näkemyksen mukainen tulkinta asettaisi eriarvoiseen asemaan sellaiset asiakkaat, joiden koko tilivarallisuus on verkkopankissa vain yhdellä tilillä.
Lopputulos
Katson, että vahinko on aiheutunut maksupalvelulain 38 §:n mukaisella asiakkaan suostumuksella tehdyn maksutapahtuman seurauksena, jota ei ole pidettävä oikeudettomana. Asiakkaan hallussa olevien tilien välinen ilman vahvaa tunnistamista tehty oikeudeton siirto ei ole riittävässä syy-yhteydessä asiakkaan myöhemmin vahvistamalla siirrolla hänelle aiheutuneeseen vahinkoon. Pankkilautakunnan enemmistön kannan hyväksyminen merkitsisi sitä, että asiakkaan omalla toiminnalla ei olisi merkitystä vastuunjaon arvioinnissa, eikä tällainen malli olisi rikoksentorjunnan kannalta tarkoituksenmukainen.
Edellä todetuin perustein katson, että pankki ei vastaa kyseisestä tilisiirrosta ja asiassa aiheutuneesta vahingosta miltään osin, eikä Pankkilautakunnan tulisi suosittaa pankkia hyvittämään 997,32 euroa tilille, jolta oikeudeton tilisiirto ilman vahvaa tunnistamista tehtiin.