Haku

PKL 117/15

Tulosta

Asianumero: PKL 117/15 (2016)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 14.06.2016

Onko pankki toiminut huolimattomasti ja mikä on pankin vastuu asiakkaalle aiheutuneista vahingoista ja selvityskuluista, kun ulkopuolinen on saanut pankista verkkopankkitunnukset asiakkaana esiintyen? Identiteettivarkaus. Asiakkaan tunnistaminen. Ensitunnistaminen. Selvittelykulut. Sopimuksenulkoinen korvausvastuu.

Tapahtumatiedot            

Pankki on 9.2.2015 avannut tilin ja luovuttanut verkkopankkitunnukset asiakkaana esiintyneelle ja väärennetyn ajokortin tunnistusasiakirjana esittäneelle henkilölle, joka on verkkopankkitunnuksia käyttäen mm. hakenut pikavippejä ja tehnyt väliaikaisen osoitteenmuutoksen Postin verkkopalvelussa. Verkkopankkitunnuksia oikeudetta käyttänyt on saanut haltuunsa asiakkaan postin mukaan lukien 711 euron arvoiset junaliput.

Asiakkaan valitus            

Asiakas vaatii pankkia korvaamaan hänelle aiheutuneen 711,00 euron vahingon, joka aiheutui siitä, että verkkopankkitunnuksia väärinkäyttämällä rikollinen sai haltuunsa asiakkaan postin, jonka joukossa oli asiakkaan matkatoimistosta ostamat Japanin sisäisen junaliikenteen matkaliput. Koska ne olivat ns. haltijalippuja, asiakas joutui ostamaan liput uudelleen alkuperäiset liput myyneestä suomalaisesta matkatoimistosta hintaan 711 euroa. Jos asiakkaalle aiheutunutta vahinkoa ei voida pitää esinevahinkona, on sitä pidettävä varallisuusvahinkona.

Lisäksi asiakas vaatii korvauksena asian selvittelystä aiheutuvasta vaivasta ja kuluista 2.080 euroa ja kohtuullisena korvauksena henkisestä kärsimyksestä ja mielipahasta 500 euroa. Edellä mainittuihin määriin ei sisälly minkäänlaisia, kuluja, vaivaa ja palkkiota asian ajamisesta Pankkilautakunnassa ja sen valmistelusta.

Edellä mainitut määrät pyydetään maksamaan korkolain mukaisine viivästyskorkoineen (7.5 %) siitä lukien, kun 30 päivää on kulunut alkuperäisen korvausvaatimuksen esittämispäivästä 11.3.2015.

Korvausvaatimuksen peruste

Pankin menettely on suorassa syy-yhteydessä aiheutuneeseen vahinkoon. Myöntäessään verkkopankkitunnukset asiakkaan nimissä toiselle henkilölle pankki on menetellyt törkeän huolimattomasti. Se on laiminlyönyt noudattaa tunnusten hakijan ensitunnistamisessa tunnistamislain 17 §:n edellyttämää riittävää huolellisuutta ja on siten mahdollistanut vahingon syntymisen, kun rikollinen teki verkkopankkitunnuksilla Postiin asiakkaan osoitteen muutoksen ja sai siten haltuunsa asiakkaan postin ja sen mukana olleet matkaliput.

Tausta

Asiakas joutui tammi-helmikuussa 2015 joidenkin muiden saman työnantajan henkilökuntaan kuuluvien henkilöiden tavoin ammattimaisesti toimineen rikollisen identiteettivarkauden uhriksi. Uhriksi oli valittu henkilöitä, joilla on kaupparekisteriin merkitty oikeus kirjoittaa työantajansa toiminimi. Rikollinen sai uhrien nimet ja henkilötunnuksen kaupparekisteristä sekä osoitetiedot ilmeisesti puhelinluettelopalveluiden tarjoajilta. Uhrien henkilötiedoilla on tehty väärennettyjä ajokortteja, joita hyväksikäyttäen on mm. avattu muissa pankeissa uhrien nimellä tilejä ja verkkopankkisopimuksia. Rikollinen teki verkkopankkitunnusten avulla asiakkaan nimellä ja hänenä esiintyen tähän mennessä ilmi tulleina seuraavat rikokset

- avasi asiakasomistajuussuhteen osuuskauppaan

- teki samaisessa paikassa tili- ja verkkopankkisopimuksen ja sai verkkopankkitunnukset

- otti verkkopankkitunnuksilla pikaluottoyhtiöistä ainakin kahdeksan pikaluottoa

- perusti toiminimen ja teki siitä rekisteri-ilmoituksen Patentti- ja rekisterihallitukseen

- osti puhelinliittymiä, laajakaistaliittymän ja tietokoneita

- Postin verkkopalvelussa muutti verkkopankkitunnuksilla asiakkaan postiosoitteen poste restante -osoitteeksi, josta sai väärennetyllä ajokortilla asiakkaana esiintyen haltuunsa asiakkaalle tulevan postin ja sen mukana olleet em. matkaliput

- Tilasi useita ulkomaisia luottokortteja (debit card) asiakkaan nimissä

Kaikki muut paitsi matkalippuasian asiakas on saanut selvitetyksi ja sovituksi asianomaisten yritysten ja tahojen kanssa.

Asiakas ryhtyi 3.2.2015 oma-aloitteisesti selvittämään asiaa, kun postia ei ollut tullut hänen kotiinsa 26.1.-3.2.2015 välisenä aikana. Selvisi, että pankin verkkopankkitunnuksilla oli tehty Postiin asiakkaana esiintyen kotiosoitteen muutos poste restante -osoitteeksi, josta postin oli hakenut tuntematon henkilö asiakkaana esiintyen esittämällä henkilöllisyysasiakirjana asiakkaan nimellä olevan ajokortin. Asiakas teki asiasta 4.2.2015 poliisille rikosilmoituksen sekä ryhtyi toimiin pankkitunnusten käytön estämiseksi ja vahinkojen minimoimiseksi.

Laki vahvasta sähköisestä tunnisteesta ja sähköisestä allekirjoituksesta (tunnistamislaki) Tunnistamislain 17 §:ssä säädetään asiakkaan ensitunnistamisesta vahvan sähköisen tunnisteen eli verkkopankkitunnusten myöntämisessä sekä siihen kelpaavista henkilöllisyysasiakirjoista. Lain esitöissä (HE36/2009) ja Finanssivalvonnan määräyskokoelmassa on sitä koskevia tarkentavia ohjeita.

Koska verkkopankkitunnusten myöntäjällä on suuri vastuu, on myöntäjän ensitunnistettava hakija henkilökohtaisesti ja huolellisesti, minkä lisäksi ensitunnistamiseen hyväksyttyjen henkilöllisyysasiakarjojen määrä on rajallinen.

Ensitunnistamiseen kelpaavat vain ETA-jäsenvaltion (lisäksi Sveitsi ja San Marino) viranomaisen myöntämä voimassaoleva passi ja henkilökortti. Niiden luotettavuus perustuu asiakirjan vaikeaan väärennettävyyteen, luotettavaan myöntöprosessiin ja vahvoihin turvatekijöihin.

Henkilökorttien turvatekijänä on korttiin sisältyvien teknisten seikkojen lisäksi taustarekisteri eli Euroopan unionin neuvoston ylläpitämä Prado-internetsivusto - aitojen henkilö- ja matkustusasiakirjojen verkkohakemisto -, joka on tarkoitettu mm. pankkien käyttöön.

Sivustolla on kuvat ja tunnistetiedot jäsenvaltioiden virallisina matkustusasiakirjoina hyväksyttävistä henkilökorteista. Siellä on myös palvelu, jonne henkilöasiakirjan numeron syöttämällä saa tietää, onko kyseessä asiakirja, joka on varastettu tai kadonnut, jonka voimassaolo aika on päättynyt, joka on pätemätön tai jonka numeroista ei ole vielä myönnetty pätevänä asiakirjana.

Tunnistamislain mukaan tunnistuspalvelun tarjoaja voi halutessaan käyttää ensitunnistamisessa myös Euroopan talousalueen jäsenvaltion viranomaisen 1 päivän lokakuuta 1990 jälkeen myöntämää voimassa olevaa ajokorttia tai muun valtion viranomaisen myöntämää voimassa olevaa passia. Tunnistamispalvelun tarjoajan on rekisteröitävä Viestintäviraston verkkosivuilta ilmenevään rekisteriin ne tunnistamisasiakirjat, jotka se hyväksyy verkkopankkitunnusten antamisessa.

Näyttää siltä, että kukaan palveluntarjoaja Suomessa ei ole rekisteröinyt ETA-alueen ulkopuolista passia verkkopankkitunnusten myöntämiseen kelpaavaksi tunnistamisasiakirjaksi. Sen sijaan Suomen poliisin myöntämä suomalainen ajokortti on yleisesti käytössä (Suomen poliisin antama ns. käännetty ajokortti ulkomaalaisesta ajokortista ei kelpaa).

Suomen poliisin myöntämä ajokorttikaan ei ole luotettavuudeltaan passin ja henkilökortin veroinen ns. virallinen henkilöllisyysasiakirja, koska sen myöntöprosessi ei ole samantasoinen, turvatekijät ovat vähäisemmät ja käyttötarkoitus ei ole toimia henkilöllisyysasiakirjana vaan ajolupana.

Riskit kasvavat hyväksyttäessä ajokortti tai ETA-alueen ulkopuolinen passi verkkopankkitunnusten tunnistamisvälineeksi. Lain esitöissä (17§) ja Fivan ohjeissa se on todettu hyvin selvästi samoin kuin se, että palveluntarjoajan on arvioitava siitä aiheutuvat riskit. Käytännössä se tarkoittaa sitä, että tunnistamisprosessin tulisi sisältää ajokortin silmämääräisen aitouden tarkastamisen lisäksi sellaisia muita lisäturvatekijöitä, jotka pienentävät väärinkäytösriskiä.

Jos verkkopankkitunnusten hakijan ensitunnistaminen on suoritettu väärin eli tunnukset on annettu identiteetiltään väärälle henkilölle, määräytyy tunnukset antaneen palveluntarjoajan vastuu myöntämillään tunnuksilla aiheutetuista vahingoista seuraavasti.

Suhteessa vahingonkärsijään vastaa se palveluntarjoaja, joka on suorittanut hakijan ensitunnistamisen ja on sen perusteella myöntänyt tunnukset. Jos toinen palveluntarjoaja on myöntänyt tunnukset luottaen tunnukset alunperin myöntäneen palveluntarjoajan suorittamaan ensitunnistamiseen, vastaa tuo toinen palveluntarjoaja suhteessa vahingonkärsijään myöntämillään tunnuksilla aiheutetuista vahingoista. Palveluntarjoajien kesken vastuu määräytyy heidän sopimallaan tavalla. Tunnuksia väärinkäyttänyt henkilö on kaikissa tilanteissa korvausvastuussa palveluntarjoajan ohella. Tunnistamislain 27 §:ssä on tunnistusvälineen haltijan tunnistusvälineen oikeudetonta käyttöä koskevat vastuunrajoitukset.

Asiakkaan menettely

Asiakkaalla ei ole ollut asiakassuhdetta pankkiin. Asiakas ei ole ollut tietoinen eikä ole millään tavalla myötävaikuttanut siihen, että pankki on myöntänyt hänen nimellään verkkopankkitunnukset toiselle henkilölle. Asiakas ei ole ollut missään vaiheessa pankin myöntämien verkkopankkitunnusten haltija.

Asiakas ei ole antanut kenenkään käyttöön ajokorttiaan eikä häneltä ole kadoksissa ajokorttia tai muuta henkilöllisyysasiakirjaa, jota olisi voitu käyttää hänen nimellään verkkopankkitunnusten hankkimiseen pankista.

Asian tultua asiakkaan tietoon hän on tehnyt välittömästi poliisille rikosilmoituksen sekä ryhtynyt toimiin verkkopankkitunnusten käytön jatkamisen estämiseksi.

Asiakkaan syyksi ei jää minkäänlaista tuottamusta, vaan asiakas on ammattimaisen rikoksen uhri.

Pankin menettely

Jos pankki olisi toiminut huolellisesti, sen olisi pitänyt huomata ensitunnistamisessa asiakkaan nimellä käytetty ajokortti väärennetyksi. Tätä tukevat seuraavat tutkinnan aikana tietoon tulleet seikat.

- Rikollisen esitettäessä samaan rikossarjaan kuuluvaa vastaavalla tavalla väärennettyä ajokorttia pankin Helsingin toimipisteessä pankin virkailija kieltäytyi hyväksymästä sitä asiakirjan ulkonäköön liittyvien väärennysepäilyjen takia.

- Poliisin mukaan ajokortit tässä rikossarjassa ovat väärennöksinä teknisesti korkeatasoisia, mutta puutteet viivakoodeissa osoittavat ne silmämääräisessäkin tarkastelussa heti väärennöksiksi. Esitutkintamateriaalissa todetaan lisäksi, että rikollisten toiminta kohdistui pankkiin koska "siellä ei kopioida ajokorttia ja verkkopankkitunnukset saa heti mukaansa". Pankin ilmoituksen mukaan tunnistamistilanteessa ajokortista ei ole pankin ilmoituksen mukaan otettu kopiota, mikä vahvistaa epäilystä siitä että asiakaspalvelija ei ole pitänyt korttia kädessään tarkistaakseen sen oikeellisuuden.

Ottaen huomioon, että ajokortti ei ole virallinen henkilötodistus olisi pankin tullut noudattaa erityistä huolellisuutta tarkistaessaan ajokortin oikeellisuuden hyväksyessään sen henkilöllisyyden tunnistamisen välineeksi. Koska ajokorttiin tunnistamisasiakirjana liittyy passia ja henkilökorttia suurempi väärinkäytösriski, tulee huomiota kiinnittää siihen, sisältääkö pankin ensitunnistamisprosessi muita turvatekijöitä, joita noudattamalla vahinko olisi voitu estää.

Asiakkaan oma pankki on sisällyttänyt ensitunnistamisprosessiinsa tunnistamisasiakirjan silmämääräisen tarkastamisen ja sen teknisten turvatekijöiden kontrolloimisen lisäksi väärinkäytösriskiä pienentäviä lisäturvatekijöitä. Tällaisia ovat mm.

- verkkopankkitunnusten myöntäminen on aina tarveharkintaista, koska ne eivät ole luottolaitoslain tarkoittama peruspankkipalvelu

- ne myönnetään uudelle asiakkaalle tilinavauksen jälkeen vasta n. 2- 3 kuukauden tarkkailujakson kuluttua, jona aikana pankki saa käsityksen asiakkaan toiminnan laadusta ja laajuudesta sekä verkkopankin tarpeesta ja voi verrata sitä tietoihin, jotka asiakas tilinavauksen yhteydessä on antanut pankille.

Pankin verkkopankkitunnusten myöntämisprosessi on edellistä riskipitoisempi ja alttiimpi väärinkäytöksille, koska asiakas saa tunnukset heti mukaansa, eikä ensitunnistamisprosessi ilmeisestikään sisällä lisäturvatekijöitä (esim. nopeat ja yksinkertaiset taustatarkistukset ja tarkkailukysymykset), joiden avulla nyt esillä oleva rikossarja olisi ollut helppo estää.

Asiakas viittaa tältä osin Viestintävirastoon rekisteröityihin pankin tunnistamisperiaatteisiin koskien verkkopankkitunnusten hakijaa. Pankin tunnistamisperiaatteiden mukaan tunnukset saa heti mukaan pankin asiakaspalvelupisteistä ja asiointipisteistä tunnukset voi  tilata lomakkeella ja ne toimitetaan kotiosoitteeseen.

Pankin tunnistuspalvelun yleisten ehtojen vastuunrajoitukset eivät tule sovellettaviksi, koska ne säätelevät vain pankin ja palveluntarjoajan (Posti) välistä suhdetta. Myöskään postilain 51 §:n mukaiset vastuunrajoitukset eivät tule postilain 50 §:n mukaan sovellettaviksi silloin, kun Postin menettely on ollut tahallista tai törkeän huolimatonta. Tässä myös Postin menettely on ollut törkeän huolimatonta sen luovuttaessa asiakkaan nimellä olevan postin väärälle henkilölle. Sen takia pankki ei voi tehokkaasti vedota postilain 51 §:n vastuunrajoituksiin korvausvastuunsa määrän pienentämiseksi.

Jos asiakkaalle aiheutunutta vahinkoa ei voida pitää esinevahinkona, on sitä pidettävä varallisuusvahinkona. Asiassa on erittäin painavia syitä suosittaa pankki korvaamaan aiheutunut taloudellinen vahinko (matkaliput). Tällaisia erittäin painavia syitä ovat ensitunnistamisen huolellisuusvelvoitteen laiminlyönti ottaen erityisesti huomioon se yleinen luottamus, joka oikeuttaa olettamaan, että myös tunnistamistilanteessa pankit menettelevät huolellisesti (vrt. KKO 1992:44), pankin erityisen riskialtis ensitunnistamisprosessi ja se, että asiakkaalla ei ole tässä asiassa minkäänlaista omaa myötävaikutusta tai tuottamusta.

Kokonaisarviointi

Kun tunnistamisvälineenä on ajokortti, on pankin ensitunnistamisjärjestelmä erityisen riskialtis ja sisältää pankin tietoisen riskinoton väärinkäytösmahdollisuudesta, koska sillä ei ole pääsyä viranomaisen taustarekisteriin, josta se voi tarkastaa ajokortin aitouden. Siitä huolimatta se antaa pankkikäytännöstä poiketen uudelle pankkiasiakkaalle verkkopankkitunnukset ajokortilla heti ensitapaamisessa ja ilman tunnistamiseen liittyvien muiden turvatekijöiden käyttöä ja asiakkaan etukäteisseurantaa. On todennäköistä, että juuri tästä syystä rikolliset valitsivat kohteekseen pankin.

Yleisenä periaatteena on, että väärennys ei saa oikeussuojaa ja että väärennyksen uhria suojellaan. Kysymys on nyt siitä, kuka tässä asiassa on suojan tarpeessa - asiakas vai pankki. Yleisenä periaatteena vahinkojen välttämiseksi myös on, että toimimisvelvollisuus on sillä, jolla on siihen mahdollisuus. Asiakkaalla täysin ulkopuolisena henkilönä ei ole ollut tässä mitään mahdollisuutta toimia ja estää vahingon syntyminen. Pankilla tunnistamisjärjestelmässä keskeisesti mukana olevana sekä siihen liittyvät riskit ja vastuut tuntevana olisi ollut tässä mahdollisuus estää vahingon syntyminen järjestämällä tunnistamisprosessinsa toisin sekä toimimalla käytännön ensitunnistamistilanteessa huolellisemmin. Pankki on siten täysimääräisesti korvausvelvollinen.

Pankin vastine

Pankki ei katso olevansa asiakkaan nähden vastuussa hänen vaatimansa vahingon korvaamisesta. Pankin asiakaspalvelupisteessä ei ole näytetty toimitun huolimattomasti ensitunnistusta tehtäessä. Pankin prosessi pankkitunnusten myöntämisessä on myös asianmukainen. Pankki katsoo lisäksi, että pankin menettely ei ole syy-yhteydessä aiheutuneeseen vahinkoon.

Rikollinen on esittänyt asiakkaan nimissä olevan ajokortin tunnistusasiakirjana pankin asiakaspalvelupisteessä avatessaan pankissa tilin ja hankkiessaan pankkitunnukset. Koska pankin luovuttamia pankkitunnuksia voi käyttää pankin kanssa tunnistuspalvelusopimuksen tehneissä yrityksissä tunnistautumiseen, on väliaikainen osoitteenmuutos Posti Oy:ssä ollut mahdollista näiden pankkitunnusten avulla.

Rikollinen ovat tunnistautunut asiakkaan nimissä Postin nettipalvelussa käyttäen pankin pankkitunnuksia. Sen jälkeen hän on tehnyt asiakkaan nimissä väliaikaisen osoitteenmuutoksen postitoimipaikkaan 00510, poste restante. Rikollinen on käynyt tuossa postitoimipaikassa päivittäin noutamassa asiakkaan nimissä tulleen postin.

Pankin käsityksen mukaan asiakas voi asiassa vedota rikollista kohtaan VahL 5:1:n säännökseen, jonka mukaan rangaistavaksi säädetyn teon tehnyt vastaa aiheuttamastaan vahingosta suhteessa vahingon kärsineeseen. Sen sijaan, koska asiakkaalla ei ole sopimussuhdetta tunnistusvälineen tarjoajana toimineeseen pankkiimme, hänellä saattaisi olla mahdollisuus kohdistaa vaatimuksia pankille lähinnä VahL:n yleissäännösten nojalla.

Pankin sisäisen toimintaohjeen mukaan henkilöllisyyden todentaminen jakautuu kahtia asiakkaan kasvojen ja asiakirjassa olevan kasvokuvan vertailuun sekä tunnistusasiakirjan aitouden tarkistamiseen. Epäselvissä tapauksissa tunnistajan on ollut mahdollista verrata ko. tunnistusasiakirjaa sähköisessä toimintaohjeessa oleviin malliasiakirjoihin. Asiakaspalvelupisteiden koulutuksessa tunnistamista ja henkilöllisyyden todentamista käydään myös säännöllisesti läpi.

Asiakkaan esittämästä ilmenee, että rikos on kokonaisuutenaan tehty erittäin ammattitaitoisesti. Pankin käsityksen mukaan myös tunnistusvälineenä käytetty ajokortti on niin taitavasti väärennetty, että asiakaspalvelupisteen henkilökunnan ei olisi pitänytkään havaita sitä väärennökseksi. Pankin tietoon ei ole tullut, että pankin asiakaspalvelupisteessä ei olisi toimittu huolellisesti toimintaohjeen ja tunnistuslain 17 §:n mukaisesti. Se seikka, että tekijä ei ole onnistunut tunnistautumaan asiakkaan kertoman mukaan samalla väärennetyllä ajokortilla toisessa pankin asiakaspalvelupisteessä ei vielä osoita, että pankkitunnukset myöntäneessä asiakaspalvelupisteessä olisi toimittu huolimattomasti asiakasta tunnistettaessa.

Asiakas on lisävastineessaan kertonut, että poliisin mukaan tunnistautumisessa käytetyn ajokortin ulkoasuun liittyvät seikat paljastavat sen silmämääräisessä tarkastelussa heti väärennökseksi. Poliisi on esittänyt tämän lisävastineen kirjoittajalle samaan tapahtumasarjaan liittyviä, samalla tavalla väärennettyjä ajokortteja. Näitä ajokortteja ei olisi voinut silmämääräisesti heti todeta väärennöksiksi. Pankin käsityksen mukaan myös tässä tapauksessa tunnistusvälineenä käytetty ajokortti on niin taitavasti väärennetty, että asiakaspalvelupisteen henkilökunnan ei olisi pitänytkään havaita sitä väärennökseksi.

Asiakkaan mukaan esitutkintamateriaalin perusteella tapahtumasarjan yhteydessä vastaavalla tavalla väärennetty ajokortti on todettu väärennetyksi toisessa pankin toimipisteessä. Pankin käsityksen mukaan tämä ei osoita, että pankkitunnukset myöntäneessä asiakaspalvelupisteessä olisi toimittu huolimattomasti asiakasta tunnistettaessa. Se, että pankin toisessa asiakaspalvelupisteessä väärennettyä ajokorttia ei ole hyväksytty tunnistusasiakirjaksi, ei vielä tarkoita, että se olisi todettu väärennetyksi. Ajokorttia ei hyväksytä tunnistusasiakirjana, jos epäilys sen oikeellisuudesta on syntynyt.

Asiakkaan mukaan esitutkintamateriaalissa todetaan lisäksi, että rikollisten toiminta kohdistui pankkiin koska "siellä ei kopioida ajokorttia ja verkkopankkitunnukset saa heti mukaansa". Näin tosiaan esitutkinnassa syylliseksi epäilty henkilö väittää tuntemattoman "Venäläisen" häntä ohjeistaneen. Vaikka ajokortista ei olekaan otettu kopiota, on asiakkaan asioinnista tallennettu videotallenteet. Kopion ottaminen tunnistusasiakirjasta ei tee tunnistamista huolellisemmaksi. Myöskään verkkopankkitunnusten luovuttaminen asiakkaalle heti mukaan ei tee tunnistusta tunnistuslain tai pankin tunnistusperiaatteiden vastaiseksi tai muuten huolimattomaksi.

Pankki painottaa vielä sitä seikkaa, että ensitunnistusta tehtäessä tunnistusvälineenä oli uuden mallinen ajokortti, jossa oli väärinkäyttäjän kuva. Lisäksi pankki painottaa sitä, että asiakas ja väärinkäyttäjä ovat suurin piirtein samanikäisiä; asiakkaan ja väärinkäyttäjän ikäero on vain yhden vuoden. Tunnistustilanteessa tunnistaja ei siis ole voinut ajokorttia ja sen esittänyttä henkilöä verrattaessa havaita, että kyseessä ei ollut asiakas. Pankki lähettää vielä erikseen postitse asiaa koskevasta skannatusta poliisikuulustelupöytäkirjasta kopiot väärinkäyttäjän kotietsinnästä löytyneistä väärennetyistä henkilöasiakirjoista. Asiakkaan asiassa on käytetty asiakkaan henkilötiedoilla varustettua ajokorttia, jota ei ole poliisilta saatavissa.

Asiakas on pyytänyt pankkia kertomaan tarkemmin, mitä tietoja se sai tammikuussa 2015 uuden asiakkaan tunnistusprosessin (KYC) yhteydessä hakijasta: hakijan henkilötiedot, työpaikka, tilin käyttötarkoitus, tilille odotettujen tulovirtojen alkuperä jne. Edelleen asiakas on pyytänyt pankkia toimittamaan valokopion väärennetystä ajokortista.

Rahanpesulain mukaan pankin tulee tuntea ja tunnistaa asiakkaansa. Pankilla on edellä mainittuun perustuen selonottovelvollisuus asiakassuhteen taustoista ja tarkoituksesta sekä velvollisuus todentaa asiakkaan henkilöllisyys asianmukaisesta henkilöllisyystodistuksesta tai tunnistusvälineestä. Tuntemis- ja selonottovelvoitteen sisältö riippuu pitkälti pankin riskiperusteisesta harkinnasta, jota tulee suhteuttaa toiminnan laatuun ja laajuuteen. Hyväksyttävien henkilöllisyystodistusten osalta laissa ja Finanssivalvonnan määräyksissä on määritelty asiakirjat, joita pankki voi vastaanottaa. Kyseessä olevan tapauksen kysymyksenasettelun osalta ei pankin näkökulmasta ole merkitystä sillä, mitä tietoja se on asiakkaista hankkinut rahanpesulain tuntemis- ja selonottovelvollisuuden perusteella. Finanssivalvonta on tarkastanut pankin asiakkaan tuntemiseen liittyviä prosesseja, eikä näihin liittyen ole havainnut merkittäviä puutteita. Mikään seikka ei viittaa siihen, että todennäköisyys pankkitunnusten saamiseksi väärennetyllä tunnistusasiakirjalla olisi pankissa merkittävästi suurempi kuin muissa pankeissa. Pankissa on n. 2.8 miljoonaa asiakasta ja siten erittäin merkittävä määrä päivittäisiä asiakastapaamisia ja asiakkaan ensitunnistamisia. Yksittäinen tai yksittäiset pankkiin kohdistuneet väärinkäytökset eivät siten indikoi pankin huonoa tunnistamisprosessia.

Tunnistuslain mukaisten tunnistusvälineiden myöntämisessä noudatettavasta menettelystä ja huolellisuudesta säädetään tunnistuslaissa. Vahinko, josta asiakas vaatii pankilta korvausta, on aiheutettu tunnistuslain mukaisella tunnistusvälineellä.

Asiakkaan tuntemiseen liittyvistä prosesseista olennaista on siis se, että pankki todentaa asiakkaan henkilöllisyyden virallisesta henkilöllisyystodistuksesta. Asiakkaan palveluiden tarpeen, laadun ja sisällön tunteminen ei ole tunnistuslain kannalta niinkään olennaista.

Tunnistuslain 24 §:n mukaan Tunnistuspalvelun tarjoajan on tallennettava tarvittavat tiedot 17 §:ssä tarkoitetusta hakijan ensitunnistamisesta sekä siinä käytetystä asiakirjasta; HE 36/2009 vp mukaan palveluntarjoajan on tallennettava tarvittavat tiedot 17 §:ssä tarkoitetusta hakijan ensitunnistamisesta sekä ensitunnistamisessa käytetystä asiakirjasta. Tarvittavat tiedot voivat olla esimerkiksi passin tai henkilökortin numero. Joissakin tilanteissa voi olla tarpeen säilyttää valokopio käytetystä asiakirjasta.

Asiakaspalvelupisteessä toimihenkilö on ensitunnistusta tehdessään tallentanut asiakkaan nimissä tehtävään pankkitunnussopimukseen asiassa esitetyn ajokortin numeron. Valokopiota käytetystä asiakirjasta ei ole otettu. Tunnistuslain edellyttämät tiedot on siis tallennettu.

Posti Oy:n yleisten toimitusehtojen mukaan poste restanteen osoitetun lähetyksen vastaanottajan on todistettava henkilöllisyytensä henkilöllisyystodistuksella. Postilähetystä noudettaessa on pankin käsityksen mukaan rikollinen käyttänyt samaa asiakkaan nimissä olevaa ajokorttia kuin pankkitunnuksia pankissamme avattaessa. Asiakkaalle syntynyt vahinko on päässyt syntymään, koska Posti Oy on muuttanut hänen osoitteensa ilman hänen lupaansa ja Posti Oy on näin ollen toimittanut hänen lippunsa väärään poste restante -osoitteeseen. Poste restantesta on sitten luovutettu posti ilmeisesti samaa väärennettyä ajokorttia esittäneelle henkilölle. Postin asiakkaan korvausvaatimukseen antamassa vastauksessa Posti vahvistaa tarkastaneensa vastaanottajan henkilöllisyyden.

Pankki toteaa vielä, että pankin tunnistuspalvelun yleisten ehtojen (noudatetaan pankin ja Postin välisessä suhteessa) mukaan pankki ei ole osallinen sopimuksessa tai muussa oikeustoimessa, jonka asiakas tai asiakkaana mahdollisesti esiintyvä henkilö tekee tunnistepalvelun avulla. Pankki ei vastaa tällaisen oikeustoimen pätevyydestä, täyttämisestä tai sen peruuntumisesta tai purkamisesta mahdollisesti aiheutuvista kustannuksista.

Posti on vastauksessaan asiakkaalle kertonut, että postilain mukainen enimmäiskorvaus tavallisesta kirjeestä on 50 euroa. Mikäli pankki katsottaisiin velvolliseksi väärään osoitteeseen toimitetuista lipuista jotain asiakkaalle korvaamaan, pankki katsoo, ettei korvausmäärä voi olla tätä 50 euroa suurempi.

Mikäli pankin katsottaisiin olevan vastuussa asiakkaan asian hoitamiseen käyttämästä ajasta, pankki katsoo kohtuulliseksi korvaukseksi oman ajan käytöstä 10 e/h. 500 euron vaatimusta henkisestä kärsimyksestä ja mielipahasta pankki pitää perusteettomana ja joka tapauksessa kohtuuttoman suurena. Siltä osin kuin asiakkaan vaatimukset koskevat vahingonkorvausta sellaisesta taloudellisesta vahingosta, joka ei ole yhteydessä henkilö- tai esinevahinkoon pankki katsoo, että vahingon korvaamiseen ei ole vahingonkorvauslain 5 luvun 1 §:ssä tarkoitettuja erittäin painavia syitä.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

- Tutkintailmoitus (ilmoitusaika 3.2.2015)

- Pankin tunnistusperiaatteet / Pankkitunnukset

- pankin tunnistuspalvelun yleiset ehdot

- valokopiot rikoksesta epäillyn kotietsinnässä löytyneistä väärennetyistä henkilöasiakirjoista

- asiakkaan korvausvaatimus Postille 9.4.2015

- Postin päätös 17.6.2015

- matkatoimiston todistus (13.2.2015) vakuutusyhtiölle siitä, että asiakas on joutunut postilähetyksen varkauden vuoksi  lunastamaan uudet junapassit.

Ratkaisusuositus

Kysymyksenasettelu

Asian ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko pankin katsoa laiminlyöneen tunnistamislain (617/2009) mukaisia velvollisuuksiaan tavalla, jonka perusteella pankin tulisi vastata asiakkaalle asian selvittelystä ja uusien junalippujen hankkimisesta aiheutuneista kuluista sekä maksaa korvausta asiakkaan kokemasta henkisestä kärsimyksestä ja mielipahasta. Mikäli pankki katsotaan korvausvelvolliseksi selvittelykuluista, arvioitavaksi tulee myös perusteltujen kulujen määrä.

Sovellettavat lainkohdat

Vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain (Tunnistuslaki; 617/2009) 13 §:n 1 momentin mukaan

Tunnistuspalvelun tarjoajana pankin on huolehdittava siitä, että sen palveluksessa olevalla henkilöstöllä on harjoitetun toiminnan laajuuteen nähden riittävä asiantuntemus, kokemus ja pätevyys.

Tunnistamislain säätämiseen johtaneen hallituksen esityksen (HE 36/2009) mukaan asiantuntemuksella tarkoitetaan sekä teknistä että oikeudellista asiantuntemusta. Esimerkiksi henkilötietojen käsittelyyn liittyvät voimassa olevan lainsäädännön asettamat vaatimukset ovat huomattavat. Asiantuntemuksen, tarvittavan kokemuksen ja pätevyyden, kuten esimerkiksi koulutuksen vaatimukset määräytyvät kunkin henkilön kohdalla hänen hoitamiensa tehtävien mukaan.

Tunnistuslain 14 §:n 1 momentin mukaan

Tunnistuspalvelun tarjoajalla on oltava tunnistusperiaatteet, joissa määritellään tarkemmin, kuinka palveluntarjoaja täyttää laissa tarkoitetut velvollisuutensa. Erityisen tärkeää on määritellä tarkemmin, kuinka palveluntarjoaja toteuttaa 17 §:ssä tarkoitetun ensitunnistamisen.

Tunnistamislain säätämiseen johtaneen hallituksen esityksen mukaan tunnistusperiaatteet ovat olennainen väline palveluntarjoajan ja sen tarjoamien palveluiden luotettavuuden arvioinnissa.

Tunnistuslain 17 §:n mukaan

Jos hakijalla ei ole aikaisempaa tämän lain mukaista vahvaa sähköistä tunnistusvälinettä, ensitunnistamisen on tapahduttava henkilökohtaisesti. […]

Henkilökohtaista ensitunnistusta tehtäessä tunnistuspalvelun tarjoajan on tunnistettava tunnistusvälineen hakija huolellisesti toteamalla hänen henkilöllisyytensä voimassa olevasta Euroopan talousalueen jäsenvaltion, Sveitsin tai San Marinon viranomaisen myöntämästä passista tai henkilökortista. Halutessaan tunnistuspalvelun tarjoaja voi käyttää ensitunnistamisessa myös Euroopan talousalueen jäsenvaltion viranomaisen 1 päivän lokakuuta 1990 jälkeen myöntämää voimassa olevaa ajokorttia tain muun valtion viranomaisen myöntämää voimassa olevaa passia.

Tunnistuslain 24 §:n 1 momentin 2 kohdan mukaan

Tunnistuspalvelun tarjoajan on tallennettava:

2) tarvittavat tiedot 17 §:ssä tarkoitetusta hakijan ensitunnistamisesta sekä siinä käytetystä asiakirjasta.

Lain säätämiseen johtaneen hallituksen esityksen mukaan tarvittavat tiedot voivat olla esimerkiksi passin tai henkilökortin numero. Joissakin tilanteissa voi olla tarpeen säilyttää valokopio käytetystä asiakirjasta. Asian todentaminen jälkikäteen saattaa olla tarpeen, jos tunnistusväline on annettu väärälle henkilölle. 17 §:ssä tarkoitetun prosessin selvittäminen saattaa olla tarpeen muun muassa sen selvittämiseksi, mikä taho vastaa mahdollisesti aiheutuneista vahingoista, jos osoittautuu, että tunnistusväline on annettu väärälle henkilölle.

Vahingonkorvauslain (412/1974) 2 luvun 1 §:n 1 momentin mukaan

Joka tahallisesti tai tuottamuksesta aiheuttaa toiselle vahingon, on velvollinen korvaamaan sen, jollei siitä, mitä tässä laissa säädetään, muuta johdu.

Vahingonkorvauslain 5 luvun 1 §:n mukaan

Vahingonkorvaus käsittää hyvityksen henkilö- ja esinevahingosta sekä 4 a ja 6 §:ssä säädetyin edellytyksin kärsimyksestä. Milloin vahinko on aiheutettu rangaistavaksi säädetyllä teolla tai julkista valtaa käytettäessä taikka milloin muissa tapauksissa on erittäin painavia syitä, käsittää vahingonkorvaus hyvityksen myös sellaisesta taloudellisesta vahingosta, joka ei ole yhteydessä henkilö- tai esinevahinkoon.

Vahingonkorvauslain 5 luvun 6 §:n mukaan

Oikeus korvaukseen loukkauksen aiheuttamasta kärsimyksestä on sillä:

1) jonka vapautta, rauhaa, kunniaa tai yksityiselämää on rangaistavaksi säädetyllä teolla loukattu;

2) jota on rangaistavaksi säädetyllä teolla syrjitty;

3) jonka henkilökohtaista koskemattomuutta on tahallaan tai törkeästä huolimattomuudesta vakavasti loukattu;

4) jonka ihmisarvoa on tahallaan tai törkeästä huolimattomuudesta vakavasti loukattu muulla, 1-3 kohdassa tarkoitettuihin loukkauksiin verrattavalla tavalla.

Korvaus määrätään sen kärsimyksen perusteella, jonka loukkaus on omiaan aiheuttamaan ottaen erityisesti huomioon loukkauksen laatu, loukatun asema, loukkaajan ja loukatun välinen suhde sekä loukkauksen julkisuus.

Asian arviointi

Pankkilautakunta toteaa, että tässä tapauksessa asiakkaan ja pankin välillä ei ole käsiteltävää asiakokonaisuutta koskevaa sopimussuhdetta. Näin ollen tapauksessa on asiakkaan korvausvaatimuksen osalta kyse pankin sopimuksen ulkopuolisesta korvausvastuusta, jolloin sovellettavaksi tulevat vahingonkorvauslain yleiset säännökset ja asiakkaan on korvausvaatimuksen esittäjänä osoitettava vahingon aiheutuneen pankin huolimattomuudesta.

Pankin menettely

Asian käsittely Pankkilautakunnassa tapahtuu kirjallisesti, eikä lautakunta voi kuulla todistajia valan velvoituksin. Näin ollen lautakunnan ratkaisusuositus asiassa voi perustua vain sen käytettävissä olevista asiakirjoista ilmeneviin tietoihin.

Pankkilautakunta ottaa pankin menettelyä arvioidessaan huomioon tapauksessa saadun kokonaisselvityksen sisältäen sekä kyseistä tunnistamistilannetta ja verkkopankkitunnusten luovutusta koskevan selvityksen että pankin yleisiä menettelytapoja koskevan selvityksen.

Tapauksessa on riidatonta, että ensitunnistaminen on tapahtunut pankin toimipisteessä henkilökohtaisesti toteamalla henkilöllisyys väärennetystä suomalaisesta ajokortista. Pankki on antanut asiassa selvityksen omista toimintaohjeistaan henkilöllisyyden todentamisen osalta ja pankin mukaan asiakaspalvelupisteiden koulutuksessa tunnistamista käydään läpi säännöllisesti. Pankin toimintatapoihin ei saadun selvityksen mukaan kuulu valokopion ottaminen tunnistamiseen käytetystä asiakirjasta eikä tapauksessa käytetty väärennetty ajokortti ole päätynyt myöskään poliisin haltuun. Näin ollen kyseinen asiakirja ei ole myöskään Pankkilautakunnan käytettävissä.

Pankkilautakunta toteaa, ettei se, että sivullinen on asiakkaana esiintyen ja väärennettyä ajokorttia tunnistamisasiakirjana käyttäen onnistunut oikeudetta saamaan pankista verkkopankkitunnukset, vielä osoita pankin toimineen ensitunnistamista tehdessään huolimattomasti ja laiminlyöneen tunnistuslain 17 §:n mukaista huolellisuusvelvollisuuttaan.

Pankkilautakunta toteaa ensitunnistamisen tapahtuneen tapauksessa tunnistuslain 17 §:n mukaisesti henkilökohtaisesti ja säännöksen mukaisesta todentamisasiakirjasta, joka on kuitenkin ollut väärennetty. Pankkilautakunta katsoo myös pankin henkilöllisyyden todentamisesta antaman ohjeistuksen lähtökohtaisesti täyttävän tunnistuslain 14 §:n vaatimukset.

Asiakkaan asiassa esittämän mukaan rikoksesta epäillyn rikossarjassa käyttämät henkilöllisyysasiakirjat ovat väärennöksinä teknisesti korkeatasoisia, mutta puutteet viivakoodeissa osoittavat ne silmämääräisessäkin tarkastelussa heti väärennöksiksi. Edelleen rikoksesta epäillyn esittäessä samaan rikossarjaan kuuluvaa vastaavalla tavalla väärennettyä ajokorttia pankin Helsingin toimipisteessä pankin virkailija on kieltäytynyt hyväksymästä sitä asiakirjan ulkonäköön liittyvien väärennysepäilyjen takia.

Ottaen edellä todetun lisäksi huomioon, että tapauksessa ensitunnistaminen on tapahtunut ajokortista -, jonka turvatekijät ovat passia ja henkilökorttia vähäisemmät ja josta pankki ei ole ottanut kopiota, - ja verkkopankkitunnukset on luovutettu pankin toimipisteestä uudelle asiakkaalle heti, Pankkilautakunta katsoo saadun selvityksen perusteella asiassa olevan riittäviä syitä epäillä, ettei pankin toimipisteessä ole noudatettu asianmukaista huolellisuutta ensitunnistamista tehtäessä. Pankkilautakunta katsookin, että pankin olisi tullut tapauksessa esittää tarkempaa selvitystä siitä, miten tunnistamistilanteessa on tässä tapauksessa toimittu, ja osoittaa näin, että pankki on asiassa saadusta muusta selvityksestä huolimatta toiminut tunnistuslain edellyttämää huolellisuutta noudattaen. Lautakunta toteaa pankin kuitenkin selvittäneen tunnistamiseen liittyviä käytäntöjään ainoastaan yleisellä tasolla jättäen siten selvittämättä menettelyään tässä tapauksessa. Selvittämättä on jäänyt myös, missä asemassa oleva ja minkälaisen koulutuksen läpikäynyt toimihenkilö on tässä tapauksessa ensitunnistamisen pankissa tehnyt.

Pankkilautakunta katsoo, ettei pankin voida tässä tapauksessa saadun kokonaisselvityksen perusteella katsoa noudattaneen tunnistuslain 17 §:n tai pankin oman, henkilöllisyyden todentamista koskevan ja tunnistuslain 14 §:n mukaisen toimintaohjeen vaatimuksia. Pankkilautakunta katsoo näin ollen pankin toimineen huolimattomasti ensitunnistamista tehdessään.

Korvattava vahinko

Pankkilautakunta katsoo, että asiakkaalle aiheutuneet selvittelykulut ovat syy-yhteydessä pankin moitittavaksi katsottavaan menettelyyn ja ne ovat kohtuudella ennakoitavia vahinkoja pankin luovuttaessa verkkopankkitunnukset identiteettivarkaalle. Pankkilautakunta katsoo myös, että kun otetaan huomioon ensitunnistamisen keskeinen merkitys tunnistuspalvelun luotettavuuden ja tunnistuspalvelun käyttöön liittyvien väärinkäytösmahdollisuuksien kannalta, edellä tarkoitetun selvityskuluista syntyneen vahingon korvaamiseen on vahingonkorvauslain 5 luvun 1 §:ssä tarkoitettuja erittäin painavia syitä.

Pankkilautakunta katsoo asiakkaan kuitenkin jättäneen selvittämättä riittävän yksityiskohtaisesti, mihin kuluihin hänen asiassa esittämänsä 2.080 euron vaatimus perustuu. Näin ollen Pankkilautakunta on arvioinut vahingon oikeudenkäymiskaaren 17 luvun 2 §:n 3 momentin ilmentämää periaatetta soveltaen ja katsoo kaiken asiassa saadun selvityksen perusteella ja kohtuuden mukaan, että pankin tulee korvata asiakkaalle selvityskuluja 1.000,00 euroa.

Asiakkaalle junalippujen menettämisestä aiheutuneen vahingon osalta Pankkilautakunta katsoo, ettei vahinko ole välittömässä suhteessa pankin huolimattomaan menettelyyn ja ettei pankki näin ollen ole velvollinen korvaamaan asiakkaalle junalippujen arvoa.

Edelleen Pankkilautakunta toteaa, ettei pankin voida tapauksessa katsoa syyllistyneen rangaistavaksi säädettyyn tai muuhun vastaavaan loukkaukseen, mikä on vahingonkorvauslain 5 luvun 6 §:n mukaisen korvausoikeuden edellytys. Pankkilautakunta toteaa myös, etteivät mielipahan, surun tai pelon tunteet taikka niitä vastaavat elämään kuuluvat epämiellyttävät tunnetilat lain säätämisen johtaneen hallituksen esityksen (HE 167/2003 vp) mukaan ole vahingonkorvauslain 5 luvun 1 §:n nojalla korvattavia henkilövahinkoja. Näin ollen Pankkilautakunta katsoo asiakkaan pankkia kohtaan osoittaman vaatimuksen henkisen kärsimyksen ja mielipahan korvaamisesta lakiin ja oikeuskäytäntöön perustumattomaksi.

Lopputulos

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, että pankki on huolimattomuudestaan laiminlyönyt tunnistuslaissa asetettuja tunnistuspalvelun tarjoajan velvollisuuksiaan. Edelleen lautakunta katsoo pankin huolimattomasta menettelystä aiheutuneen asiakkaalle korvattavia selvityskuluja. Koska todellisten kulujen määrästä ei ole saatu riittävää selvyyttä, arvioi Pankkilautakunta vahingon kohtuuden mukaan 1.000,00 euroksi. Pankkilautakunta katsoo asiakkaan vaatimukset muilta osin perusteettomiksi.

Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki korvaa asiakkaalle asian selvittelystä aiheutuneita kuluja 1.000,00 eurolla.

Pankkilautakunta oli yksimielinen.

 

PANKKILAUTAKUNTA

 

Puheenjohtaja Sillanpää

Sihteeri Hidén

 

Jäsenet:

Atrila

Kallio

Lehtonen

Pulkkinen

Tulosta