Haku

PKL 35/16

Tulosta

Asianumero: PKL 35/16 (2017)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 19.01.2017

Miten vastuu asiakkaan verkkopankkitunnuksien oikeudettomasta käytöstä aiheutuneesta vahingosta jakautuu asiakkaan ja pankin välillä? Verkkopankkitunnusten haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakkaan tililtä siirrettiin 13.5.2016 4.600,00 euroa käyttäen hänen verkkopankkitunnuksiaan oikeudetta.  Pankki katsoo, ettei se voi korvata aiheutunutta vahinkoa asiakkaan toimittua täysin vastoin verkkopankkitunnusehtoja.

Asiakkaan valitus

Asiakas sai sähköpostia koskien tilitietojen päivitystä Suomen lain mukaisesti. Sähköpostin lähettäjä oli ”Y-pankki turvallisuus osasto”. Asiakas avasi sähköpostin ja kaksi tuntia myöhemmin hänelle soitti X, joka oli johtaja pankin turvallisuusosastolla. X pyysi asiakasta antamaan muutamia tunnuslukuja aloittaakseen päivityksen. Pian asiakas ymmärsi, että tämä ei ollut totta, mutta häneltä oli joka tapauksessa varastettu 4.600,00 euroa.

Asiakkaan mielestä pankin tulisi lähettää kirjeitä asiakkaille varoittaakseen ja tiedottaakseen verkkourkinnasta ja sen seurauksista eikä olettaa, että asiakas lukee säännöllisesti pankin kotisivuja.  Pankilla pitäisi myös olla parempi kontrolli siitä kuinka heidän nimeään käytetään, ettei kukaan soita heidän nimissään. Pankki ei voi edellyttää, että asiakas kantaa koko riskin vastaavissa tapauksissa.

Pankin vastine

Asiakkaalle sähköpostissa olleen linkin avaamisen jälkeen soittanut X on kertonut asiakkaalle, että tämä saa tekstiviestin, jossa häntä pyydetään antamaan tunnusluku, minkä jälkeen turvallisuuspäivitys voi alkaa. Asiakas on tämän jälkeen saanut tekstiviestin lisävahvistuspalvelun poistamiseksi ja antanut puhelimitse avainlukulistan numeron sekä useita numeroita tunnuslukulistasta.

Pankki on kevään 2016 aikana verkkosivuillaan varoittanut asiakkaitaan verkkourkinnasta: 22.4.2016 ”Huijaussähköposteja pankin nimissä”; 28.4.2016 ”Pankin asiakkaiden tietojen kalastelu jatkuu”, 28.4.2016 ”Nätfiske mot Bankens kunder fortsätter”. Lisäksi lehdissä on usein pidetty esillä, että pankki ei koskaan kysy asiakkaiden tunnuslukuja tai avainnumeroita. Pankille on arvoitus, miten asiakas ajattelee, että pankki voisi estää jotakuta soittamasta asiakkaalle ja käyttämästä pankin nimeä.

Pankki katsoo, että asiakas toiminut täysin vastoin verkkopankkitunnusehtoja ja menetellyt hyvin huolimattomalla tavalla antaessaan ei yhtä vaan useita henkilökohtaisia avainnumeroita puhelimitse henkilölle joka niitä on kysynyt ja lisäksi hän on myötävaikuttanut maksujen lisävahvistuspalvelun poistamiseen vastatessaan tekstiviestiin. Pankki ei voi korvata asiakkaan tililtä 13.5.2016 tehtyjä siirtoja.

Ratkaisusuositus

Kysymyksen asettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan katsoa luovuttaneen verkkopankkitunnuksensa niiden käyttöön oikeudettomalle taikka voidaanko verkkopankkitunnusten joutumisen oikeudettomasti toisen haltuun tai niiden oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankin verkkopalvelutunnusten yleisten ehtojen mukaisia velvollisuuksiaan, ja minkä asteista jälkimmäisessä tapauksessa asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n 1 momentin mukaan maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä tunnistetiedoista.

Lain 54 §:n 1 momentin mukaan maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n mukaan maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa maksuvälineen oikeudettomasta käytöstä vain, jos:
1) hän tai muu maksuvälineen haltija on luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) maksuvälineen katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) hän tai muu maksuvälineen haltija on laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 150 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Pykälän 3 momentin mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä paitsi jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Pankin verkkopalvelutunnusten yleisten ehtojen kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä koskeva kohta vastaa maksupalvelulain kuluttajan hyväksi pakottavia säännöksiä.

Pankin verkkopalvelutunnusten yleisten ehtojen mukaan verkkopalvelutunnukset ovat henkilökohtaiset eikä niitä saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole pankin hyväksymä.

Verkkopalvelutunnusehtojen mukaan verkkopalvelutunnuksia tai osaa niistä ei saa
-kertoa puhelimessa suullisesti niitä kysyvälle
-näppäillä matkapuhelimeen tekstiviestillä tulleen pyynnön perusteella puhelinlaitteeseen ellei kyse ole pankin verkkopalvelusta tai muusta pankin hyväksymästä palvelusta tai sovelluksesta
-antaa sähköpostiviestillä tulleen pyynnön perusteella eikä kirjautua pankin verkkopalveluun sähköpostilla lähetetyn linkin kautta.

Asian arviointi

Pankkilautakunta toteaa pankin verkkopalvelutunnusten koostuvan kolmesta osasta - käyttäjätunnuksesta, salasanasta sekä kertakäyttöisten avainlukujen listasta. Asiassa saadun selvityksen perusteella jää osittain epäselväksi, missä tapahtumien vaiheessa asiakas on antanut käyttäjätunnuksensa ja salasanansa sekä se, missä kaikissa tapahtumien vaiheissa asiakas on avainlukujaan luovuttanut ja kuinka monta avainlukua hän luovuttanut. Epäselväksi asiassa on jäänyt myös se, minkälaiset internet-sivut asiakkaan saamassa sähköpostissa olleesta linkistä on avautunut ja mitä asiakas on näillä sivuilla tehnyt. Asiassa saadun selvityksen puutteellisuudesta huolimatta Pankkilautakunta katsoo, että asia voidaan ratkaista asiassa esitetyn selvityksen perusteella eikä lautakunta ole tämän vuoksi katsonut tarpeelliseksi pyytää osapuolilta asiaan lisäselvitystä.

Pankkilautakunta toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella luovutuksella tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.

Tapauksessa saadun selvityksen perusteella Pankkilautakunta katsoo, että asiakas on ollut verkkopankkitunnuksia käyttäessään ja niitä antaessaan siinä käsityksessä, että hän on asioinut pankin kanssa. Näin ollen Pankkilautakunta katsoo, ettei asiakas ole tietoisesti luovuttanut verkkopankkitunnuksiaan verkkopalvelutunnuksia koskevan sopimuksen suhteen ulkopuoliselle ja niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai verkkopalvelutunnusehdoissa tarkoitetusta tunnusten luovuttamisesta.

Näin ollen Pankkilautakunnan arvioitavaksi jää, vastaako asiakas verkkopankkitunnusten oikeudettomasta käytöstä maksupalvelulain 62 §:n 1 momentin 2) kohdan perusteella, ts. lautakunnan on arvioitava, johtuuko verkkopankkitunnusten oikeudeton käyttö siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja verkkopalvelutunnusten yleisten ehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.

Pankkilautakunta katsoo, että asiakkaan olisi tullut yleisen tietämyksen ja hänelle lähetetyn sähköpostin muotoilun ja sisällön perusteella ymmärtää, ettei sähköpostiviesti ollut pankin lähettämä, ja huolellisesti toimiessaan asiakkaan olisi tullut jättää sähköpostiviestissä ollut linkki avaamatta ja erityisesti jättää verkkopalvelutunnusten osia antamatta mikäli niitä ko. sivuilla pyydettiin. Verkkopalvelutunnusten tai niiden osan antaminen sähköpostiviestillä tulleen pyynnön perusteella tai kirjautuminen pankin verkkopalveluun sähköpostilla lähetetyn linkin kautta kielletään nimenomaisesti myös pankin verkkopalvelutunnusehdoissa.

Edelleen lautakunta katsoo, että asiakkaan olisi tullut ymmärtää ettei myöskään hänelle linkin avaamisen jälkeen tullut puhelu tosiasiassa tullut pankista, ja asiakkaan olisi huolellisesti toimiessaan tullut jättää soittajan pyytämät avainlukulistan numerot ja mahdolliset muut verkkopalvelutunnusten osat antamatta. Verkkopalvelutunnusten tai niiden osan kertominen puhelimessa suullisesti niitä kysyvälle kielletään nimenomaisesti myös pankin verkkopalvelutunnusehdoissa.

Mikäli asiakas olisi sähköpostin saatuaan, siinä olleen linkin avattuaan tai viimeistään puhelun saatuaan ymmärtänyt kyseenalaistaa yhteydenoton asianmukaisuuden ja olisi ennen verkkopankkitunnustensa antamista ottanut itse yhteyttä pankkiin tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Erityisesti Pankkilautakunta katsoo, että viimeistään saatuaan lisävahvistuspalvelun poistamista koskevan tekstiviestin asiakkaan olisi tullut ymmärtää, ettei hän ole asioinut pankin kanssa, ja tekstiviestiin vastaamisen sijaan tullut ottaa viipymättä yhteyttä pankkiin, jolloin asiassa aiheutuneelta vahingolta olisi todennäköisesti ainakin osittain voitu välttyä.

Yhteenvetona Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena poikkeavan selvästi ja olennaisesti siitä, mitä huolelliselta verkkopankkitunnusten haltijalta vaaditaan, ja asiakkaan menettelyn kokonaisuutena arvioiden osoittavan näin ollen maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, ettei asiakas ole luovuttanut verkkopankkitunnuksiaan ulkopuoliselle maksupalvelulain 62 §:n 1 momentissa tarkoitetulla tavalla. Pankkilautakunta katsoo kuitenkin verkkopalvelutunnusten joutumisen sivullisen tietoon ja niiden oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja verkkopalvelutunnusten yleisten ehtojen mukaisia velvollisuuksiaan kokonaisuutena arvioiden laissa tarkoitettua törkeää huolimattomuutta osoittavalla tavalla.

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää

Sihteeri Hidén

Jäsenet:

Atrila
Lilja
Lehtonen
Pulkkinen

Tulosta

Pystyäksesi käyttämään chattia on teidän hyväksyttävä markkinointievästeet

Muuta evästeasetuksia