Haku

FINE-80135-N6M1C1

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-80135-N6M1C1 (2026)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 29.01.2026

Miten vastuu asiakkaan verkkopankissa asiakkaan tililtä oikeudettomasti tehdyistä ja pankin tunnistussovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Rikolliset ovat tietojenkalastelulla saamillaan asiakkaan pankkitunnuksilla ja pankin asiakkaalle lähettämässä tekstiviestissä olleella vahvistuskoodilla aktivoineet käyttöönsä asiakkaan nimissä olevan pankin tunnistussovelluksen omalle laitteelleen 3.10.2024 klo 13.02.41. Pankin asiakkaalleen tekstiviestitse lähettämän toisen vahvistuskoodin saatuaan rikolliset ovat päässeet asiakkaan verkkopankkiin ja avanneet siellä tunnistussovelluksen lukituksen. Samana iltana rikolliset ovat kirjautuneet em. tunnistussovelluksella asiakkaan puhelinoperaattorin palveluun.  Siellä he ovat ottaneet käyttöön eSlM-kortin, minkä johdosta asiakkaan puhelin on lakannut toimimasta ja asiakkaalle lähetetyt tekstiviestit ovat menneet rikollisille 3.10.2024 klo 18.30 lähtien. Tämän jälkeen rikolliset ovat jälleen kirjautuneet asiakkaan verkkopankkiin ja tehneet asiakkaan tililtä kaksi oikeudetonta tilisiirtoa klo 18.33.47 yhteismäärältään 11 900 euroa.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan oikeudettomasti viedyt varat 11 900 euroa sekä oikaisupyynnön kustannukset 40 euroa.

Asiakas on perustellut vaatimuksiaan pääpiirteissään sillä, ettei hän ole ollut huolimaton pankkitunnustensa käytössä, päinvastoin, hän on pitänyt ne piilossa kaikilta, myös perheenjäseniltä.

Tietokoneen käytössä asiakas on tarvinnut apua, jolloin sihteerinä on toiminut asiakkaan puoliso asiakkaan istuessa vieressä tunnukset kädessään. Asiakas ei ole luovuttanut tunnuksia edes puolisolleen.

Poliisin tutkinnassa on käynyt ilmi, että asiakkaan puhelinnumero on ollut roistojen päätelaitteessa jo ennen rikoksentekoa. Pankin sovelluksen käyttöönottoon liittyen olisi asiakkaalle pitänyt tulla useita tekstiviestejä, mutta hänelle ei ole tullut niistä yhtäkään. Jos kyseiset viestit olisivat asiakkaalle tulleet, hän olisi voinut niihin reagoida.

Se, että pankin lokitiedot kertovat viestien tulleen asiakkaan numeroon, eivät takaa sitä, että ne ovat päätyneet asiakkaalla käytössä olleeseen laitteeseen. Tämä on tekstiviestien ongelma tärkeissä asioissa. Asiakkaan ymmärryksessä ei ole vikaa, hän olisi kyllä käsittänyt ja ymmärtänyt lukemansa vaikka kahdella kielellä (hänen äidinkielensä on ruotsi), jos hänelle olisi tullut pankin viestit sovelluksen luomisesta.

Asiakas on kaikin tavoin pyrkinyt selvittämään rikoksentekopäivänä tapahtunutta puhelimensa viestiliikennettä, mutta asiakas on vaikeassa asemassa, jos operaattori ei anna tietoja ja poliisi ei tee tietopyyntöä. Asiakas on pyytänyt apua ja tietoja sekä operaattorilta että poliisilta tuloksetta.

Asiakkaalle ei ole käsitystä, miten huijarit pääsivät hänen tietoihinsa käsiksi. Asiakkaalla oli käytössä paperiset pankkitunnukset, joita hän ei luovuttanut kenellekään. Hän ei ole ko. päivänä edes käynyt verkkopankissa.

3.10.2024 asiakkaan verkkopankkitunnuksilla on käyty ainoastaan Oma Kannassa, josta on lokitiedot liitteenä. Tarkemman tapahtumienkuvauksen osalta asiakas viittaa pankille lähettämäänsä reklamaatioon 19.12.2024. Asiakas ei ole antanut mitään tietoja mihinkään sähköpostitse tai tekstiviestillä. Täten hänellä ei ole mitään käsitystä, miten rikolliset ovat kyenneet onkimaan verkkopankkitunnukset tietoonsa ja ottamaan asiakkaan nimissä olevan pankin mobiilisovelluksen käyttöön.

Poliisille on selvinnyt, että asiakkaan puhelinnumero ollut liitettynä rikollisten laitteeseen 1.10 -5.12.2024 välisenä aikana. Poliisi on kertonut myös, että on viitteitä, että samaa rikollisten laitetta on käytetty muihinkin rikollisiin tekoihin. Poliisin täydentämä rikosilmoitus liitteenä.

Asiakkaan lapsi on keskustellut Traficomin edustajan kanssa, joka on kertonut, että asiakkaan tapaus on nostanut esille myös Traficomissa uusia näkökulmia, joita eivät ole tajunneet ottaa huomioon. Operaattorien säädöksissä on tämän perusteella korjattavaa. Traficomin edustaja on kertonut myös, että pankin tekstiviesteihin perustuva operointi ei ole luotettavaa.

Asiantuntija Petteri Järvinen on sivuillaan kirjoittanut 2.9.2025 seuraavasti: Uuden päätelaitteen käyttöönotto ja heti seuraavana yönä tilin tyhjentäminen on niin selvä merkki rikoksesta kuin vain voi olla. Sen tunnistamiseen ei tarvita edes tekoälyä, muutama IF-lause riittää. Jos pankin valvonta ei havaitse näin räikeää tekoa, pankki on itse toiminut huolimattomasti.

Pankki ei havainnut asiakkaan aiemmasta pankkikäyttäytymisestä täysin poikkeavaa toimintaa ja estänyt rahojen vientiä. Asiakkaalla ei ole ollut pankin sovellusta aiemmin käytössä, vaan ensiasennus on asennettu rikollisten päätelaitteelle ja rahat viety pian asennuksen jälkeen. Mitä virkaa on tällöin vastailla pankin tunnistautumiskysymyksiin?

Finanssivalvonnan osastopäällikkö Samu Kurri on lehdistötiedotteessa keväällä 2024 kertonut näin: Verkko- ja mobiilipankin sekä verkkomaksamisen turvallisuuden ja asiakkaan vahvaa tunnistamista koskevien teknisten ratkaisujen tulee vastata uusiin sähköisen maksamisen turvallisuusuhkiin. Selvityksemme mukaan pääsääntöisesti näin onkin, mutta koska kilpajuoksu rikollisia vastaan on kovaa, on turvallisuusratkaisuissa syytä ottaa kaikki mahdolliset toimet käyttöön. Verkkoasioinnin turvallisuuden kehittämiseksi on pankeilla keinoja, joita Finanssivalvonta kannustaa hyödyntämään. Maksupalvelun käyttäjällä on mahdollisuus asettaa monipuolisempia maksamisen turvarajoja korttimaksamiseen kuin verkko- ja mobiilipankkien kautta tapahtuviin tilisiirtoihin ja maksamiseen. Finanssivalvonta suosittaa pankkeja kehittämään myös verkkopankki- ja mobiilimaksamisen kontrolleja niin, että käyttäjällä olisi mahdollisuus asettaa nykyistä monipuolisemmin turvarajoituksia tekemiinsä tilisiirtopohjaisiin maksuihin. Tällaisia rajoituksia ovat esimerkiksi maantieteelliset rajaukset maksuissa ja maksujen päivä- tai kertaluonteiset käyttörajat. Lisäksi Finanssivalvonta suosittaa pankkeja kehittämään maksujen monitorointia siten, että ne voisivat entistä tarkemmin pysäyttää maksut, jotka poikkeavat merkittävästi asiakkaan aikaisemmasta maksuhistoriasta, esimerkiksi maksun suuruuden tai saajan mukaan. Näissä tapauksissa myös maksun lisävahvistuksen pyytäminen riittävän informatiivisella tavalla asiakkaalta voi olla tarpeen.

Asiakkaan tapauksessakin olisi ollut mahdollista pysäyttää asiakkaan aiemmasta historiasta täysin poikkeavat tapahtumat, mikäli monitorointi olisi Finanssivalvonnan suosituksen mukaista. Asiakas itse on pyrkinyt kaikella mahdollisella tavalla olemaan huolellinen pankkitunnusten käytössä, eikä hän ole niitä antanut minkään tekstiviestin tai sähköpostilinkin kautta mihinkään. Käytössä ollut tietokone on ollut suojattu ja käyttäjä pyrkinyt parhaalla mahdollisella tavalla olemaan huolellinen osoitteiden kanssa.

Poliisin tutkimusten perusteella päätelaitetta, jolla rikolliset veivät rahat, on käytetty myös muissa samantyyppisissä rikoksissa. Varat olisivat mahdollisesti säästyneet, jos laite olisi ollut mustalla listalla / toimintakiellossa.

Asiakkaalla ja hänen puolisollaan on ollut tapana putsailla niin tietokoneen sivuhistoriaa kuin puhelinten viestejäkin niin tietoturvan kuin laitteiden toimintakyvyn säilyttämiseksi. Tapahtuma-aikaan käytössä olleen tietokoneen selaushistoriaa ei ole enää mahdollista saada näkyville, koska kone on uudelleen asennettu. Ja vaikka sitä ei olisi tehtykään, niin selaushistoria säilyy nykyään saatavilla vain 90 päivän ajan ja vaatisi suurempia tietoteknisiä taitoja / harrastuneisuutta sen jälkeen kaivaa tiedot esille.

Tapahtuma-aikaa käytössä ollut puhelin on tarkistettu uudelleen, palautettavia viestejä ei ollut eikä roskapostista löytynyt mitään pankin viestejä.

E-SIM luo myös uhkia ihmisille, koska asiakkaat eivät tällä hetkellä pysty tekemään kieltoja sen käyttöönotosta operaattorille. Yhdistettynä sokeasti luotettaviin pankkitunnuksiin tämä luo rikollisille temmellyskentän, jossa asiakas jää pelinappulaksi.

Finanssivalvonta suositti vuonna 2024 pankkeja kehittämään verkkopankki- ja mobiilimaksamisen kontrolleja niin, että käyttäjällä olisi mahdollisuus asettaa nykyistä monipuolisemmin turvarajoituksia tekemiinsä tilisiirtopohjaisiin maksuihin. Lisäksi Finanssivalvonta suositti pankkeja kehittämään maksujen monitorointia siten, että ne voisivat entistä tarkemmin pysäyttää maksut, jotka poikkeavat merkittävästi asiakkaan aikaisemmasta maksuhistoriasta, esimerkiksi maksun suuruuden tai sen tahon mukaan, jolle asiakas on aikaisemmin lähettänyt maksuja. Asiakas viittaa myös Finanssivalvonnan lehdistötiedotteessa 9.10.2025 todettuun.

Pankkien monitorointi ei ole ollut tapauksen aikaan edelleenkään riittävällä tasolla huolimatta Finanssivalvonnan jo keväällä 2024 antamista suosituksista. Lehdistötiedotteen tiedot perustuvat kevään 2025 seuranta-arvioon.

Tässä tapauksessa pankki ei ole millään lailla puuttunut asiakkaan aiemmasta asiointiprofiilista täysin poikkeavaan toimintaan, eikä siihen, että sekä päätelaite, johon uusi sovellus asennettiin, että maksaja olivat ulkomailla.

Pankin mukaan sen monitorointi on onnistunut, kun oikeudettomista maksuista on pyydetty lisävahvistus. Kuten pankkikin totesi, tässä tapauksessa se on ollut hyödytöntä, koska sekä pankkisovellus että puhelinnumero e-SIMiä hyödyntäen on ollut roistojen hallussa. Asiakkaan näkökulmasta pankin monitorointi ei ole onnistunut.

Pankin olisi tullut havaita tapahtumat, kun rikoksentekopäivänä on ensin otettu oikeudettomasti pankinsovellus käyttöön ja muutama tunti sen jälkeen muutettu maksujen maarajauksia. Asiakas on ilmoittanut pankille, ettei tee ulkomaanmaksuja, minkä vuoksi ko. toiminta olisi pitänyt herättää epäilyjä. Pankki on tiennyt rikollisten hyödyntävän sekä e-SIMiä että huijattuja pankkitunnuksia, joten muutama tunti sovelluksen lataamisen/käyttöönoton jälkeen tapahtunut maarajausten muuttaminen sekä tilisiirrot ulkomaille ovat seikka, joka pankin monitoroinnin olisi pitänyt estää ja laittaa tapahtumat odottamaan, eikä pyytää vain lisävahvistusta. Asiakkaan mukaan pankki on toiminut huolimattomasti, kun on jättänyt näin selkeän signaalin huomioimatta, ja kuitannut sen lisävahvistustekstiviestillä.

Asiakkaan tapaus ei ole ainoa saman pankin ja saman operaattorin asiakkaan varojen vienti. Asiakas tietää täysin samanlaisen tapauksen, jossa kyseinen uhri ei myöskään ollut saanut sovelluksen luomiseen liittyviä viestejä. Tämä tapaus on sattunut lähes kaksi kuukautta asiakkaan tapauksen jälkeen. Tapauksia on voinut olla enemmänkin. Pankin monitorointi ei kyennyt tunnistamaan sitä, että tapauksessa rikolliseen toimintaan yhdistetty nimi X toistuu myös tässä toisessa tapauksessa uudelleen.

OmaKannan kirjautumislokista näkee, että asiakas on kirjautunut rikoksentekopäivänä kaksi kertaa OmaKantaan. Asiointi oli keskeytynyt ensimmäisellä kerralla, minkä takia asiakas oli kirjautunut sinne uudelleen. OmaKannan lokitiedot ovat yhtenevät asiakkaan kertomaan. Jostain syystä kuitenkin pankin lokitiedoissa ei näy kuin yksi sähköinen tunnistautuminen OmaKantaan avainlukukortilla kyseiseen kellonaikaan. Pankin lokissa pitäisi näkyä molemmat tunnistautumiset OmaKantaan, mikäli lokitiedot ovat täydelliset. Lisäksi pankin ja OmaKannan kellot ovat hieman eri ajassa kirjautumistiedoista päätellen.

Pankin lokitietojen mukaan tunnistussovelluksen lukitus on avattu klo 13.07.19. Asiakas kiistää avanneensa sitä. Kaikki kirjautumiset/ kirjautumisyritykset ennen 13.08.52 ovat tapahtuneet lokitietojen mukaan rikollisten toimesta IP osoitteesta päätellen. Tämä 13.08.52 kirjautuminen verkkopankkiin avainlukukortilla on mysteeri, koska asiakas ei ole sinä päivänä verkkopankissa vieraillut. IP osoite tuossa kirjautumisessa on jostain syystä kuitenkin sama kuin kirjautumisissa Omakantaan. Huomioitavaa on, että tunnistussovelluksen lukitus on avattu jo sitä ennen.

Lisäksi lokitietojen mukaan viesti sovelluksen käyttöönotosta olisi pitänyt tulla asiakkaan puhelimeen kello 13.02.55 ja heti tämän jälkeen on ollut kirjautuminen 13.02.57 roistojen IP osoitteesta verkkopankkiin avainlukukortilla. Asiakkaan digitaidoilla ei kahdessa sekunnissa olisi mitenkään kyetty lukemaan pankilta tullutta kohtuullisen pitkääkin viestiä ja sen jälkeen tarkoituksella kirjautumaan verkkopankkiin lukituksen poistoa varten. On selvää, että roistot ovat jotenkin onnistuneet asiakasta harhauttamaan ja päässeet sitä kautta verkkopankkiin. Kysymys ei ole asiakkaan huolimattomuudesta, saati törkeästä huolimattomuudesta.

Aikajana vahvistaa edelleen sitä asiaa, että kyseinen pankin väittämä viesti sovelluksen käyttöönotosta ei ole koskaan tullut asiakkaan puhelimeen. Asiakkaan asiamiehellä kesti 13 sekuntia lukea kyseinen viesti eli vaikka viesti olisi asiakkaalle tullutkin, hän ei olisi pankin lokin mukaisen aikajanan perusteella ehtinyt lukea viestiä ennen roistojen suorittamaa verkkopankkikirjautumista. Asiakas olisi ollut yhteydessä pankkiin, jos olisi viestin saanut.

Tekstiviestien hyödyntäminen rikollisen toimintaan on ollut pankkien tiedossa jo pitkään. Pankin olisi tullut tehdä muutoksia uuden sovelluksen käyttöönottoon. Täten pankit ovat omalta osaltaan mahdollistavat rikollisten toimintatapaa, ja asiakkaan näkökulmasta se ei ole millään muotoa huolellista toimintaa taholta, jonka hallussa asiakkaiden varallisuus on.

E-SIMin hyödyntämisen tunnistaminen rikollisessa toiminnassa on lapsenkengissä. Operaattori on ilmoittanut, ettei asiakas voi kieltää e-SIMin käyttöönottoa ja näin suojautua ennakolta.

Tapaus on vaikuttanut luottamukseen sähköiseen tunnistautumiseen ja sen luotettavuuteen.

Pankin vastine

Pankki kiistää asiakkaan vaatimukset.

Pankki on toimittanut lokitietonsa, joka todentaa tapahtumakulkua.

Pankin lokitietojen perusteella voidaan todeta, että asiakkaan verkkopankkitunnuksilla on rekisteröity käyttöön pankin tunnistussovellus 3.10.2024 klo 13.02.41. Tunnistussovelluksen käyttöönotosta on lähetetty klo 13.01.40 asiakkaan numeroon seuraava tekstiviesti:

Tietoturvailmoitus. Olet aktivoimassa [tunnistus] -sovellusta uudessa laitteessa. Aktivointi onnistuu viestin lopussa olevalla koodilla. Koodia käytetään vain [tunnistussovelluksen] aktivointiin. VARO HUIJAUKSIA! Huomaathan että koodia ei tule koskaan syöttää millekään verkkosivulle tai antaa ulkopuoliselle. Jos et ole tekemässä aktivointia itse ota välittömästi yhteyttä [Pankkiin] tai sulkupalveluumme p. XXX XXX. Tarkista viesti-id: 23N77. Vahvista [tunnistus] -sovelluksen aktivointi koodilla: 780633. [Pankki]

Tunnistussovelluksen käyttöönottoon liittyen on lähetetty klo 13.02.55 asiakkaan numeroon toinen tekstiviesti:

[Tunnistussovellus] on aktivoitu, mutta vielä lukittu-tilassa. Kirjaudu avaintunnuskortilla verkkopankkiin ja vapauta [tunnistussovellus] kohdasta Oma nimi, Muuta tunnuslukusovelluksen asetuksia. Klikkaa lukittu- kohtaan 'Ei' ja vahvista. Jos et ole itse tekemässä tätä aktivointia, soita heti pankkiisi tai sulkupalveluun XXXXXX.

Tämän jälkeen verkkopankkiin on kirjauduttu avainlukukortilla ja pankin tunnistussovelluksen lukitus on avattu. Huolimatta siitä, että rikollinen on ladannut ko. tunnistussovelluksen omalle laitteelleen, rikollinen ei itse ole pystynyt vahvistamaan tapahtumaa ilman asiakkaalta edellä pyydettyä hyväksyntää. Tämän viestin jälkeen asiakkaan on pitänyt tunnuslukukorttia käyttäen kirjautua verkkopankkiin ja hyväksyä sovelluksen asennus. Rikollinen ei ole voinut tätä kirjautumista tehdä, koska asiakkaan reklamaatiossa kertomansa mukaan hän ei ole luovuttanut avainlukutunnuslistaa ulkopuolisille.

Asiakkaan tapaamisessa tapahtumien läpi käynnin yhteydessä pankki ei ole pystynyt todentamaan asiakkaalle saapuneita tekstiviestejä asiakkaan puhelimesta. Tämä siitä syystä, että asiakas kertoi ja tämä on asiakkaan tapahtumakulussakin todettu, asiakkaan poistavan saapuneet tekstiviestit niiden saavuttua puhelimen toimintakunnon säilyttämiseksi.

Lokitietojen perusteella 1.-2.10.2024 välisenä aikana ei ole ollut verkkopankin käyttäjätunnuksella tapahtumia.

Verkkopankkitunnuksilla on kirjauduttu operaattorin palveluun torstaina 3.10.2024 klo 18.28.40 ja 18.29.43. Operaattorin palveluun on kirjauduttu tunnistussovellusta käyttäen, joten huijarilla on ollut hallussa tunnistussovellus ko. palveluun kirjauduttaessa. Operaattorin palvelusta huijari on tilannut eSlM-kortin käyttöönsä, josta on tullut tilausvahvistus asiakkaalle. Lokitietojen mukaan päälaitteen kytkentä liittymään on tapahtunut torstaina 3.10.2024 klo 18.30. Maksutapahtumat on suoritettu tämän jälkeen 18.33.47.

Maksutapahtumista on lähtenyt lisävahvistusviesti, joten maksutapahtumat on huomioitu ja lisävahvistusta on edellytetty. Tällä ei ole kuitenkaan ollut enää käytännössä merkitystä, kun huijarilla on ollut eSlM-kortti hallussa.

Asiakkaan tililtä suoritetuista maksuista on lähtenyt lisävahvistusviestit vahvistuskoodeineen asiakkaan puhelinnumeroon, joka on ollut maksujen suorittamisen aikaan jo huijarin hallussa eSlM-kortin käyttöönoton vuoksi. Eli pankin maksumonitorointi on havainnut poikkeukselliset tapahtumat.

Pankeilla on käytössä maksutapahtumien valvontamekanismeja, joiden avulla pankit voivat havaita oikeudettomia ja petollisia maksutapahtumia. FINE on tapauksessaan FINE-052407 todennut, että näillä valvontamekanismeilla ei ole suoraa vaikutusta maksuvälineen oikeudettomaan käyttöön liittyvään vastuunjakoon pankin ja asiakkaan välillä.

Rikolliset ovat onnistuneet lataamaan käyttäjätunnusta, salasanaa ja avainlukukorttia sekä asiakaan puhelinnumeroon lähetettyä tekstiviestivahvistusta apuna käyttäen pankin tunnistussovelluksen. Tämän menettelyn seurauksena asiakas on antanut rikolliselle toimijalle mahdollisuuden tehdä tilisiirtoja omilta tileiltään käyttäjätunnuksen ja em. sovelluksen avulla. Tapahtumien kulku on tarkistettu ja todennettavissa pankin tietojärjestelmien ylläpitäjältä.

Tapahtumat eivät siten ole johtuneet pankin järjestelmissä olleista ongelmista eikä pankin laiminlyönneistä. Tapahtumat ovat johtuneet asiakkaan omasta huolimattomuudesta verkkopankkitunnuksien luovuttamisessa. Pankki pitää asiassa ratkaisevana sitä, että tunnistussovelluksen käyttöönotto on vahvistettu asiakkaan omaan puhelimeen saapuneella tekstiviestivahvistuksella, vaikka asiakas ei ole ollut sovellusta itse lataamassa. Tämä pankin näkemyksen mukaan osoittaa sellaista verkkopankkitunnusten haltijan omaa huolimattomuutta, jonka perusteella pankilla ei ole asiassa korvausvelvollisuutta.

Pankki on jatkuvasti tiedottanut erilaisista huijausmuodoista ja opastanut verkkopankkitunnusten turvallisessa käytössä asiakastiedotteilla sekä verkkosivuillaan, mediassa ja sosiaalisessa mediassa. Pankin menettelyssä asian suhteen ei ole mitään sellaista, jonka vuoksi pankki olisi asiassa korvausvelvollinen. Pankki on menetellyt asiassa täysin ohjeiden, lain ja hyvän pankkitavan mukaisesti. Tästä syystä pankki on päättänyt olla maksamatta korvausta tai hyvitystä asiassa.

Pankki on perustanut asiakkaalle aikaisemmin ilmoittamansa kielteisen ratkaisunsa maksupalvelulain 53 ja 62 §:ään sekä ratkaisusuositukseen FINE-067799 (2024).

Selvitykset

Osapuolten välisen kirjeenvaihdon lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin lokitiedot asiakkaan pankkitunnusten käytöstä tapahtumapäiviltä.
- Lokitiedot asiakkaan OmaKantaan kirjautumisista 1.9.2024-7.10.2024.
- Poliisin ja asiakkaan välistä kirjeenvaihtoa.
- Asiakas on toimittanut liitteen: ”Tekstiviesti pankkiviestinnässä korkeaa turvallisuutta vaativissa tilanteissa”
- Soveltuvat sopimusehdot.

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi asiassa on arvioitava, onko maksuvälineen oikeudeton käyttö johtunut siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on ollut.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2 )huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.


Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
 

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 69 §:n (Vahingonkorvaus.) mukaan
Palveluntarjoaja on velvollinen korvaamaan vahingon, joka sen tämän lain tai sopimuksen vastaisesta menettelystä on aiheutunut maksupalvelun käyttäjälle.
Maksupalvelun käyttäjälle aiheutuneen välillisen vahingon palveluntarjoaja on kuitenkin velvollinen korvaamaan vain, jos vahinko johtuu huolimattomuudesta palveluntarjoajan puolella.
Välillisenä vahinkona pidetään:
1)tulon menetystä, joka maksupalvelun käyttäjälle aiheutuu palveluntarjoajan virheellisen menettelyn tai siitä johtuvien toimenpiteiden vuoksi;
2)vahinkoa, joka johtuu muuhun sopimukseen perustuvasta velvoitteesta; ja
3)muuta samankaltaista, vaikeasti ennakoitavaa vahinkoa.
Jos 2 momentissa tarkoitettua vahinkoa aiheutuu muunlaisen vahingon rajoittamisesta, sitä ei kuitenkaan tältä osin pidetä välillisenä vahinkona.
Palveluntarjoajan vastuu maksutoimeksiannon toteuttamisessa tapahtuneella virheellä tai laiminlyönnillä aiheutetusta välillisestä vahingosta voidaan sopimuksella sulkea pois tai sitä voidaan rajoittaa. Palveluntarjoaja ei voi vedota vastuunrajoitusehtoon, jos palveluntarjoaja tai joku, jonka menettelystä se vastaa, on aiheuttanut vahingon tahallisesti tai törkeästä huolimattomuudesta.

Verkkopankkiehtojen pankkitunnusten säilyttämistä koskevan kohdan mukaan
Asiakkaalle luovutetut pankkitunnukset ovat henkilökohtaiset eikä niitä saa luovuttaa sivullisen tietoon. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes perheenjäsenelle. Jos asiakas antaa tunnuksensa kolmannelle, asiakas vastaa tämän hänen nimissään tekemistä toimista.
Pankkitunnuksilla ei saa tunnistautua palveluihin, joita tarjoaa tai jossa määräysvaltaa käyttää kansainvälisten pakotteiden kohteena oleva taho.
Pankkitunnuksia ei saa myöskään käyttää lain tai hyvän tavan vastaisiin tarkoituksiin.
Yritys- tai yhteisöasiakkaalle luovutetut Pankkitunnukset ovat asiakaskohtaisia.
Asiakas sitoutuu säilyttämään pankkitunnukset huolellisesti ja tunnusten osat erillään toisistaan siten, ettei kenelläkään ole mahdollisuutta saada niitä tietoonsa tai käyttää niitä. Pankkitunnusten kaikkia osia ei saa säilyttää samassa säilytyspaikassa, kuten lompakossa tai käsilaukussa.
Asiakkaan on varmistettava säännöllisesti, että tunnukset ovat tallessa. Pankkitunnuksia ei saa luovuttaa sähköpostilla, tekstiviestillä, sovelluksessa, kertoa puhelimessa eikä säilyttää koneella, jossa havaittu haittaohjelma.

Asiakkaan vastuuta koskevan ehtokohdan mukaan
Asiakas vastaa pankkitunnusten oikeudettomasta käytöstä, jos
1) asiakas on luovuttanut tunnukset niiden käyttöön oikeudettomalle
2) tunnusten katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu asiakkaan huolimattomuudesta tai
3) asiakas ei ole ilmoittanut ehtojen mukaisesti pankille tunnusten katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä ilman aiheetonta viivytystä sen havaittuaan ja välittömästi sen jälkeen, kun asiakkaan olisi pitänyt havaita tunnusten oikeudeton käyttö.
Asiakas vastaa pankkitunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos asiakas on luovuttanut tunnukset niiden käyttöön oikeudettomalle.
Asiakkaan vastuun määrä kohdissa 2 ja 3 tarkoitetuissa tapauksissa on enintään kulloinkin voimassa olevan maksupalvelulain mukainen rahamäärä, jos tunnuksia on käytetty maksuvälineenä tai kuluttajan-suojalain 7 luvun mukaisena tililuoton käyttöön oikeuttavana tunnisteena.
Asiakas vastaa vahingoista aina täysimääräisesti, jos hän on toiminut tahallisesti tai törkeän huolimattomasti.
Asiakas ei vastaa pankkitunnusten oikeudettomasta käytöstä sen jälkeen, kun pankille on tehty kohdan 3.3 mukainen ilmoitus, paitsi jos asiakas on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Finanssivalvonta on valvottavatiedotteessaan 19.3.2024 - 13/2024 Verkkopankin, mobiilipankin ja verkkomaksamisen turvallisuus suosittanut pankkeja
kehittämään verkkopankki- ja mobiilimaksamisen kontrolleja niin, että käyttäjällä olisi mahdollisuus asettaa nykyistä monipuolisemmin turvarajoituksia tekemiinsä tilisiirtopohjaisiin maksuihin. Tällaisia rajoituksia ovat esimerkiksi mahdollisuus asettaa maksuille päivä- tai kertaluonteinen käyttöraja sekä rajoittaa maita tai maantieteellisiä alueita ja vastaanottavia tahoja, joihin maksu suuntautuu.

Lisäksi pankkien tulisi parantaa mahdollisesti petoksellisten maksutapahtumien monitorointia, niiden pysäyttämistä ja lisävahvistusten pyytämistä. Finanssivalvonta suosittaa pankkeja kehittämään maksujen monitorointia siten, että ne voisivat entistä tarkemmin pysäyttää maksut, jotka poikkeavat merkittävästi asiakkaan aikaisemmasta maksuhistoriasta, esimerkiksi maksun suuruuden tai sen tahon mukaan, jolle asiakas on aikaisemmin lähettänyt maksuja. Näissä tapauksissa myös maksun lisävahvistuksen pyytäminen riittävän informatiivisella tavalla asiakkaalta voi olla tarpeen.

Asian arviointi

Tapahtumakulku

Pankki on toimittanut järjestelmätietoihinsa perustuvan selvityksen tapahtumista. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän järjestelmätietoihinsa perustuvan selvityksen paikkansa pitävyyttä.

Asiakas ei myönnä joutuneensa valesivustolle, ja on myös kiistänyt saaneensa pankin lähettämiä viestejä tunnistussovelluksen käyttöönotosta vedoten eritoten siihen, että rikollinen on saanut asiakkaan puhelinliittymän haltuunsa.

Asiakas on toimittanut lautakunnalle muun muassa käymäänsä sähköpostikirjeenvaihtoa poliisin kanssa. Poliisi on antamissaan vastauksissa pitänyt mahdollisena, asiakas olisi kirjautunut OmaKanta- huijaussivustolle, jota avuksi käyttäen on todennäköisesti saatu asiakkaan pankkitunnukset. Poliisi mukaan tunnistussovelluksen vahvistusviestit ovat tulleet asiakkaan omaan puhelimeen. Poliisi on pitänyt mahdollisena, että asiakkaalle klo 13.02 lähetettyä tekstiviestin vahvistuskoodia on tiedusteltu huijaussivustolla, jonne se on syötetty, ja tällä tavalla huijari on saanut vahvistuskoodin selville ja saanut rekisteröityä asiakkaan nimissä olevan pankin tunnistussovelluksen käyttöönsä. Poliisin mukaan ulkopuolisen päätelaitteen kytkentä asiakkaan liittymään on tapahtunut vasta eSIM:n aktivoinnin yhteydessä 3.10.2024 klo 18.30.

Pankkilautakunta katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että asiakas on päätynyt rikollisten luomille pankin tunnistautumisnäkymää muistuttaville valesivuille. Valesivuille on toimitetun aineiston perusteella todennäköisesti päädytty hakukoneella OmaKantaan hakeutumisen yhteydessä. Kun asiakas on käyttänyt verkkopankkitunnuksiaan valesivustolla yrittäessään kirjautua sisään OmaKanta-palveluun, pankkitunnustiedot ovat päätyneet rikollisten haltuun. Rikolliset ovat näin saamillaan tiedoilla aloittaneet asiakkaan nimissä olevan pankin tunnistussovelluksen käyttöönoton omalla laitteellaan, minkä johdosta pankki on lähettänyt asiakkaalle klo 3.10.2024 klo 13.01.40 seuraavanlaisen tekstiviestin:

Tietoturvailmoitus. Olet aktivoimassa [tunnistus] -sovellusta uudessa laitteessa. Aktivointi onnistuu viestin lopussa olevalla koodilla. Koodia käytetään vain [tunnistussovelluksen] aktivointiin. VARO HUIJAUKSIA! Huomaathan että koodia ei tule koskaan syöttää millekään verkkosivulle tai antaa ulkopuoliselle. Jos et ole tekemässä aktivointia itse ota välittömästi yhteyttä [Pankkiin] tai sulkupalveluumme p. XXX XXX. Tarkista viesti-id: FKRFS. Vahvista [tunnistus]-sovelluksen aktivointi koodilla: 518515. [Pankki].

Tunnistussovellus on rekisteröity uudelle laitteelle klo 13.02.41. Tunnistussovelluksen käyttöönottoon on tarvittu asiakkaan verkkopankin käyttäjätunnus, salasana ja avainlukulistan koodi sekä tekstiviestitse asiakkaan puhelimeen saapunut aktivointikoodi. Tämän jälkeen tunnistussovellus on ollut lukittu -tilassa, ja lukituksen poisto on tullut tehdä asiakkaan verkkopankissa avainlukulistan koodilla. Pankki on lähettänyt klo 13.02.55 asiakkaalle seuraavan tekstiviestin:

  [Tunnistussovellus] on aktivoitu, mutta vielä lukittu-tilassa. Kirjaudu avaintunnuskortilla verkkopankkiin ja vapauta [Tunnistussovellus] kohdasta Oma nimi, Muuta tunnuslukusovelluksen asetuksia. Klikkaa lukittu kohtaan ei ja vahvista. Jos et ole itse tekemässä tätä aktivointia, soita heti pankkiisi tai sulkupalveluun XXXXXX.

Asiakkaan verkkopankkiin on kirjauduttu klo 13.02.57 avainlukulistan koodilla. Pankki on lähettänyt asiakkaalle klo 13.06.08 tämän johdosta seuraavan tekstiviestin:

Vahvista sisäänkirjaus palveluun. Vahvista vahvistuskoodilla 802895. [Pankki]

Myös tämän vahvistuskoodin on täytynyt päätyä rikollisen tietoon, jotta rikollinen on päässyt kirjautumaan asiakkaan verkkopankkiin ja poistanut sovelluksen lukituksen klo 13.07.19. Lokitiedoista ilmenevän IP-osoitteen perusteella lukitus on poistettu rikollisen toimesta. Rikollisen on siten täytynyt saada tietoonsa asiakkaan verkkopankin käyttäjätunnuksen ja salasanan lisäksi avainlukulistan koodit tunnistussovelluksen käyttöönottoon, verkkopankkiin kirjautumiseen ja sovelluksen lukituksen poistoon sekä tekstiviestitse toimitetut vahvistuskoodit tunnistussovelluksen aktivointiin ja verkkopankkiin kirjautumiseen.  Pankkilautakunta katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että asiakas on syöttänyt kaikki em. tiedot valesivuille, mitä kautta ne ovat päätyneet rikollisen tietoon. Lokitietojen perusteella asiakkaan verkkopankkitunnuksilla on tehty sähköinen tunnistautuminen klo 13.11.14, mikä viittaa siihen, että rikollisten luomat valesivut ovat ohjanneet asiakkaan tietojenkalastelun jälkeen oikeille OmaKannan verkkosivuille, joille asiakas on lopulta onnistuneesti kirjautunut.

Pankin lokitietojen perusteella asiakkaan verkkopankkiin on kirjauduttu myös klo 13.08.52 avainlukulistan koodilla ja asiakkaalle tekstiviestitse lähetetyllä vahvistuskoodilla, tällä kertaa IP-osoitteesta, joka vastaa asiakkaan omaa OmaKantaan kirjautumisen IP-osoitetta. Asiakas on kuitenkin kiistänyt kirjautuneensa verkkopankkiinsa tapahtuma-ajankohtana. Kyseinen kirjautuminen jää annetun selvityksen perusteella enemmälti selvittämättä.

Pankkilautakunta katsoo asiassa riidattomaksi, että rikolliset ovat asiakkaan tunnistussovelluksella kirjautuneet samana iltana operaattorin palveluun ja saaneet haltuunsa myös asiakkaan SIM-kortin. Asiakkaan puhelinliittymä on tämän seurauksena lakannut toimimasta asiakkaan puhelimessa, ja asiakkaan numeroon tämän jälkeen lähetetyt viestit ovat menneet rikollisille.

Rikolliset ovat tehneet asiakkaan tililtä tilisiirtoja yhteensä 11 900 euron arvosta. Maksut on vahvistettu tunnistussovelluksella sekä pankin asiakkaan numeroon lähetyllä lisävahvistuksella. Lisävahvistusta koskeva viesti (klo 18.33.33) on mennyt rikollisen laitteeseen, eikä sitä näin ollen oteta huomioon asiakkaan tuottamusarvioinnissa.

Asiakas on ollut sulkupalveluun yhteydessä huomattuaan oikeudettomat maksut 5.10.2024, jonka jälkeen verkkopankkitunnukset on suljettu.

Asiakkaan menettelyn arviointi

Asiassa on riidatonta, että asiakas ei ole tietoisesti luovuttanut pankkitunnuksiaan rikoksen tehneen henkilön haltuun. Asiakas on verkkosivujen näkymän perusteella luullut tunnistautuvansa OmaKanta-sivustolle ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan eli käyttäjätunnustaan, salasanaansa, useita lukuja avainlukulistaltaan sekä pankin asiakkaalle lähettämiä vahvistuskoodeja.

Verkkopankkiehdoissa ei kielletä hakukoneen käyttämistä pankkitunnuksilla tehtävän tunnistautumisen yhteydessä, eikä lautakunnalle ole myöskään toimitettu muita asiakasta velvoittavia käyttö- tai turvallisuusohjeita, joissa pankki olisi varoittanut asiakastaan hakukoneen käyttöön liittyvistä verkkohuijauksista. Ottaen lisäksi huomioon pankkitunnuksilla tehtävän tunnistautumisen yleisyyden Pankkilautakunta katsoo, ettei asiakas ole huolimattomuudestaan laiminlyönyt maksupalvelulain tai sopimusehtojen mukaisia velvollisuuksiaan hakeutuessaan hakukoneen avulla OmaKanta-palveluun ja käyttäessään pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa ja ehtojen mukaisessa käyttötarkoituksessa tunnistautumiseen kolmannen osapuolen palveluun.

Asiassa ei ole esitetty selvitystä valesivuston verkko-osoitteesta, minkä vuoksi lautakunnan ei ole mahdollista arvioida, olisiko asiakkaan tullut ymmärtää sivuston osoitteen perusteella kyseenalaistaa asiointinsa asianmukaisuus. Asiassa ei ole myöskään esitetty selvitystä valesivujen ulkoasusta. Pankkilautakunta kuitenkin toteaa nykyään olevan tavanomaista, että valesivustot ovat hyvin uskottavia, ja saattavat muistuttaa täysin aitoja sivuja ulko- ja kieliasultaan. Myös sivuston osoite saattaa näyttää ensisilmäyksellä oikealta. 

Asiassa annetun selvityksen mukaan asiakas on kuitenkin joutunut syöttämään valesivuille useita avainlukulistan koodeja sekä pankilta tekstiviestitse saamiaan vahvistuskoodeja ennen kuin on itse päässyt onnistuneesti kirjautumaan sisään OmaKanta-palveluun. Rikollinen on saamillaan koodeilla päässyt asiakkaan verkkopankkiin, aktivoinut käyttöönsä asiakkaan nimissä olevan pankin tunnistussovelluksen sekä avannut sen lukitustilasta ennen kuin asiakas on itse päässyt kirjautumaan haluamaansa palveluun. Kirjautuminen ei ole siten ollut täysin sujuvaa, ja se on myös lokitietojen perusteella kestänyt noin 10 minuuttia, mitä ei voida pitää tavanomaisena.

Pankkilautakunta katsoo, että asiakkaan tulisi huolellisesti toimiessaan tällaisessa tilanteessa varmistaa verkkosivuston asianmukaisuus esimerkiksi osoiteriviltä sekä kiinnittää erityistä huomiota pankilta saamiinsa viesteihin. Tässä tapauksessa asiakas on saanut pankiltaan useita viestejä ml. tunnistussovelluksen aktivointikoodin sisältäneen tietoturvailmoituksen. Pankkilautakunta katsoo, että saatuaan tavanomaisesta tunnistautumistilanteesta poikkeavalla tavalla pankin tunnistussovelluksen aktivointikoodin sisältäneen viestin pankiltaan asiakkaan olisi erityisesti tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja tullut viestissä olleen ohjeistuksen mukaisesti myös jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi toiminut viestissä olleen ohjeistuksen mukaisesti ja ottanut yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Pankki on lähettänyt asiakkaalle tämän jälkeen aktivoitua tunnistussovellusta ja sen lukituksen poistoa koskeneen yksityiskohtaisen viestin. Myös tämän viestin olisi tullut herättää asiakkaan epäilyt verkkosivuston asianmukaisuudesta.

Pankkilautakunta katsoo pankin asiakkaalle lähettämien em. tekstiviestien olleen sisällöltään yksityiskohtaisia ja informatiivisia, ja niissä ohjeistetun asianmukaisella tarkkuudella, mihin viestissä ollutta aktivointikoodia käytetään, ja toisaalta varoitetun asianmukaisesti väärinkäytöstilanteiden varalta. Asiakkaan kertoman perusteella vaikuttaa todennäköiseltä, ettei asiakas ole lukenut huolellisesti pankilta saamiensa tekstiviestien sisältöä. Asiassa on lisäksi jäänyt epäselväksi, onko asiakasta auttanut kyseisessä kirjautumistilanteessa hänen aviomiehensä ja jos on, minkälainen tehtävänjako osapuolilla tapahtumahetkellä on ollut, ja mikä vaikutus tällä on ollut viestien lukemiseen. Riippumatta siitä, onko asiakasta tapahtumahetkellä avustanut toinen henkilö kirjautumisessa, on selvää, että vastuu pankilta tulleiden viestien asianmukaisesta lukemisesta ja niissä olleiden vahvistuskoodien käyttämisestä on viimekädessä asiakkaalla itsellään.

Pankkilautakunta katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Tässä tapauksessa saadun selvityksen perusteella ja erityisesti pankin lähettämän pankin tunnistussovelluksen aktivointikoodin sisältäneen tekstiviestin ja sen jälkeisen tunnistussovelluksen lukituksen poistoa koskevan tekstiviestin yksityiskohtainen sisältö huomioiden Pankkilautakunta katsoo asiakkaan menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena arvioiden osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan vastaavan näin ollen täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Pankin korvausvastuu

Asiassa tulee vielä arvioitavaksi, onko pankki korvausvastuussa asiakkaalleen aiheutuneesta vahingosta sillä perusteella, että se ei ole havainnut taikka pysäyttänyt rikollisia maksuja.

Pankkilautakunta on aiemmin antamissaan ratkaisuissa (mm. FINE-052407, FINE-059114, FINE-69519-Z1W5M) todennut, että vaikka pankeilla on maksupalvelusääntelyn perusteella oltava käytössään maksutapahtumien valvontamekanismit, tällä velvollisuudella ei kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta.

Pankkilautakunta on nyt käsiteltävänä olevassa tapauksessa arvioinut asiakkaan ja pankin välistä vastuujakoa maksuvälineen oikeudettoman käytön osalta pitkälti asiakkaan menettelyn huolellisuuden perusteella maksupalvelulain 62§:stä johtuen. Maksupalvelulaissa on kuitenkin säädetty myös pankin vastuusta ja sen 69 §:n mukaan pankki on velvollinen korvaamaan sellaisen vahingon, joka sen maksupalvelulain tai sopimuksen vastaisesta menettelystä on asiakkaalle aiheutunut. Tietyissä tilanteissa korvausvastuu edellyttää   pankin tuottamusta. Tavanomaisesti pankin korvausvastuu asiakkaalleen on sopimusperusteista.

Asiakas on vedonnut siihen, että maksujen monitorointi ei ole ollut Finanssivalvonnan suositusten mukaista, eikä pankki ole havainnut rikollista toimintaa. Asiakas on myös vedonnut pankin velvollisuuteen tuntea asiakkaansa. Asiakkaan vetoama seikka pankin velvollisuudesta tuntea asiakkaansa toimintaa perustuu ensisijaisesti lakiin rahanpesun ja terrorismin rahoittamisen estämisestä, jossa säädetyt seuraamukset ovat lähinnä hallinnollisia. Valvova viranomainen on Finanssivalvonta.  Finanssivalvonta on valvottavatiedotteessaan 19.3.2024 - 13/2024 suosittanut pankkeja mm. ”kehittämään maksujen monitorointia siten, että ne voisivat entistä tarkemmin pysäyttää maksut, jotka poikkeavat merkittävästi asiakkaan aikaisemmasta maksuhistoriasta, esimerkiksi maksun suuruuden tai sen tahon mukaan, jolle asiakas on aikaisemmin lähettänyt maksuja. Näissä tapauksissa myös maksun lisävahvistuksen pyytäminen riittävän informatiivisella tavalla asiakkaalta voi olla tarpeen.”

Pankkilautakunta toteaa, että asiakkaan verkkopankissa tehdyt ja tunnistussovelluksella vahvistetut oikeudettomat maksut ovat edellyttäneet erillistä lisävahvistusta. Samoin verkkopankkitunnuksilla tehty tunnistussovelluksen käyttöönotto on edellyttänyt asiakkaan verkkopankissa tehtävää erillistä lukituksen poistoa tunnistussovelluksen aktivoimisen jälkeen. Em. viitaten ja asiassa toimitetun aineiston perusteella Pankkilautakunta katsoo asiassa jääneen osoittamatta, että pankki olisi laiminlyönyt maksupalvelusääntelyyn tai sopimukseen perustuvia velvollisuuksiaan.

Lopputulos

Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Tykkä

Jäsenet:
Atrila
Piilo
Punakivi
Makkonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä