Haku

PKL 38/14

Tulosta

Asianumero: PKL 38/14 (2014)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 16.12.2014

Miten vastuu asiakkaan verkkopalvelutunnuksilla tehdystä oikeudettomasta tilisiirrosta jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Verkkopankkitunnusten oikeudeton käyttö. Lievä huolimattomuus.

Tapahtumatiedot            

Asiakas sai 9.8.2014 klo 20.04 tekstiviestin: ”Sivulla on avoin lasku järjestelmässämme 26.6.2014 lähtien. Lain mukaan maksuhäiriömerkintä voidaan merkitä teille huomenna 10.8.2014 lähtien. Lasku muodostuu muistutuslaskusta 5,00 euroa + viivästyskulut 3,18 euroa eli yhteensä 8,18 euroa on yhä maksamatta. Voit tarkastella tietojasi ja laskuja perinnän onlinepalvelusta www.XXX-online.com. Terveisin XXX-Perintä”.

Viestin saamisen jälkeen asiakas kirjautui sivuille, josta ohjattiin tunnistautumaan järjestelmään pankkitunnusten avulla. Asiakas painoi pankkinsa tunnusta ja pääsi sivulle, joka näytti asiakkaan kertoman mukaan samalta kuin pankin sisäänkirjautumissivu. Asiakas laittoi käyttäjätunnuksensa ja salasanansa, minkä jälkeen sivulla pyydettiin hänen puhelinnumeroaan, jotta hänelle voitaisiin lähettää viesti siitä, minkä pankkitunnusten tunnuslukutaulukon tunnusluvun avulla hän pääsee kirjautumaan.  Viesti tuli ja asiakas laittoi vastaavan tunnusluvun nettisivuille. Tämän jälkeen hän sai uuden viestin, jossa pyydettiin kirjautumaan uudelleen ja antamaan pyydetty toinen tunnusluku. Sen tehtyään asiakas sai vielä uuden viestin, jossa kerrottiin, että asiakastietoja ei löytynyt ja että lasku on peruttu.

Pankista soitettiin asiakkaalle 12.8.2014 klo 13.40 ja kerrottiin, että hänen tililtään oli tehty 2.800 euron tilisiirto.

Asiakkaan valitus            

Asiakas vaatii pankkia korvaamaan hänen tililtään 9.8.2014 klo 20:19 hänen verkkopalvelutunnuksia oikeudetta käyttäen tehdyn 2800 euron tilisiirron.

Asiakas oli kesällä pitkiä aikoja poissa kotoa eikä ollut varma, oliko maksanut kaikkia laskujaan ja oliko varmasti huomannut kaikki kirjeet mainospostin seasta, joten hän päätti tarkistaa XXX-perinnän sivulta tilanteen. Asiakas ei halunnut maksuhäiriömerkintää. Sivu näytti aidolta ja samalta kuin pankin sisäänkirjautumissivu. Asiakas ei missään vaiheessa hyväksynyt verkkopankissa tehtyä tilisiirtoa.

Asiakas teki asiasta rikosilmoituksen. Poliisilaitos on päättänyt tutkinnan ja siirtänyt tapauksen tutkinnan Helsinkiin, jossa sitä tutkitaan sarjarikoksena.

Pankin vastine                 

Pankki viittaa asiassa digitaalisia palveluja koskevien yleisten ehtojensa pankkitunnusten säilyttämistä ja asiakkaan vastuuta koskevaan kohtaan.

Pankkitunnussopimuksen turvallisuusohjeissa kerrotaan lisäksi, että pankki ei koskaan ota yhteyttä sähköpostilla tai puhelimella kysyäkseen pankkitunnuksiasi.

Kirjautuminen verkkopankkiin tapahtuu käyttämällä henkilökohtaista käyttäjätunnusta, salasanaa ja tunnuslukua, joka ilmenee tunnuslukutaulukosta. Myös muut palveluntarjoajat voivat hyväksyä asiakkaan tunnistamisessa pankin myöntämät pankkitunnukset. Muiden palveluntarjoajien tarjoamissa palveluissa itse palveluista ja niihin liittyvästä neuvonnasta sekä ohjeistuksesta vastaavat yksin muut palveluntarjoajat.

Pankki vastaa ainoastaan asiakkaiden tunnistamisesta muuta palveluntarjoajaa kohtaan. Käytettäessä pankin pankkitunnuksia tunnistautumiseen toisen palvelun tarjoajan palvelussa, tunnistus tapahtuu käyttäen henkilökohtaista käyttäjätunnusta, salasanaa ja tunnuslukua. Tunnistautuminen tapahtuu antamalla ensin käyttäjätunnus ja salasana, sen jälkeen klikataan Jatka-painiketta ja seuraavassa vaiheessa annetaan tunnuslukutaulukosta pyydettävä tunnusluku. Tunnistuksessa ei kysytä puhelinnumeroa. Syötettävää tunnuslukua ei ilmoiteta tekstiviestillä vaan kaikki tunnistuksessa käytettävät elementit kysytään tunnistautumis-ruudulla.

Pankin näkökulmasta siirrot on tehty tavallisina SEPA-tilisiirtoina, jotka on asianmukaisesti hyväksytty asiakkaan pankkitunnuksilla. Pankki ei siis ole voinut jättää tekemättä siirtoja toimeksiannon mukaisesti.

Asiakas itse ei ole antanut tunnuksiaan pankin tunnistuspalvelussa, vaan hän on luovuttanut pankkitunnukset ulkopuoliselle, jonka kanssa pankilla ei ole sopimusta. Myöskään asiakkaalla ei pankin tietojen mukaan olisi pitänyt olla väitetyn perintäfirman kanssa mitään tekemistä. Tilin väärinkäyttö on tapahtunut pankkitunnuksilla, jotka asiakas on antanut toiselle. Tämän vuoksi pankin digitaalisen palvelun sopimusehtojen ja maksupalvelulain 62 §:n mukaisesti vastuu pankkisiirroista jää asiakkaalle.

Vaikka pankkitunnusten luovuttaminen ei olisikaan ollut tarkoituksellista, olisi asiakkaan pitänyt havaita, ettei tekstiviestiyhteydenotto ja sen jälkeen tapahtunut tunnistautuminen tekaistuille perintäfirman sivuille tapahdu normaalilla tavalla. Tämän vuoksi pankki katsoo, että pankkitunnusten joutuminen vääriin käsiin on myös johtunut asiakkaan huolimattomuudesta, jonka pankki katsoo kokonaisuutena arvioiden törkeäksi. Näin ollen pankki katsoo 2800 euron siirtojen jäävän asiakkaan vastuulle vaikka hänen ei katsottaisikaan, pankin käsityksen vastaisesti, antaneen vapaaehtoisesti pankkitunnuksia toiselle.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

- Tutkintailmoitus (ilmoitusaika 11.8.2014 klo 14:45) ja tutkinnan päätös (28.8.2014)
- pankin digitaalisia palveluja koskevat yleiset ehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan katsoa luovuttaneen verkkopankkitunnuksensa niiden käyttöön oikeudettomalle taikka voidaanko verkkopankkitunnusten joutumisen oikeudettomasti toisen haltuun tai niiden oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankin digitaalisia palveluja koskevien yleisten ehtojen mukaisia velvollisuuksiaan, ja minkä asteista jälkimmäisessä tapauksessa asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja korttiehdot

Maksupalvelulain 53 §:n 1 momentin mukaan maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä tunnistetiedoista.

Lain 54 §:n 1 momentin mukaan maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n mukaan maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa maksuvälineen oikeudettomasta käytöstä vain, jos:

1) hän tai muu maksuvälineen haltija on luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) maksuvälineen katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) hän tai muu maksuvälineen haltija on laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 150 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Pykälän 3 momentin mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä paitsi jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Pankin digitaalisia palveluja koskevien yleisten ehtojen pankkitunnusten säilyttäminen ja asiakkaan vastuuta koskevan kohdan mukaan

Asiakas sitoutuu säilyttämään Pankin myöntämät pankkitunnukset huolellisesti. Asiakas sitoutuu säilyttämään henkilökohtaisen käyttäjätunnuksen, salasanan ja tunnuslukutaulukon erillään toisistaan siten, etteivät ne tule kenenkään ulkopuolisen tietoon. Asiakas on velvollinen välittömästi ilmoittamaan Pankille, jos pankkitunnukset tai niiden osa on kadonnut, taikka on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.

Asiakas vastaa kaikesta siitä vahingosta, jonka pankkitunnusten joutuminen ulkopuolisen tietoon on aiheuttanut Pankille, asiakkaalle tai sivulliselle siihen asti, kunnes Pankki on vastaanottanut edellä mainitun ilmoituksen ja estänyt digitaalisten palvelujen käytön jatkamisen niin nopeasti kuin mahdollista. Vastaanotettuaan edellä mainitun ilmoituksen Pankilla on oikeus välittömästi keskeyttää asiakkaan tietoyhteys ja samalla Pankin digitaalisten palvelujen käyttö.

Asiakas vastaa pankkitunnusten oikeudettomasta käytöstä vain, jos:

1) hän on luovuttanut pankkitunnukset toiselle;
2) pankkitunnusten joutuminen niiden käyttöön oikeudettomalle johtuu asiakkaan huolimattomuudesta, joka ei ole lievää; taikka
3) Asiakas menetettyään pankkitunnusten hallinnan muulla kuin 2 kohdassa mainitulla tavalla on laiminlyönyt ilmoittaa tästä Pankille viipymättä sen havaittuaan. Mikäli pankkitunnuksia on nyt mainituissa kohtien 2 ja 3 mukaisissa tapauksissa käytetty oikeudettomasti maksuvälineenä Asiakas vastaa maksuvälineen oikeudettomasta käytöstä enintään 150 euroon saakka. Tätä rajoitusta ei kuitenkaan sovelleta, jos Asiakas on toiminut tahallisesti tai törkeän huolimattomasti.

Asian arviointi

Pankkilautakunta toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella luovutuksella tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.

Tapauksessa saadun selvityksen perusteella Pankkilautakunta katsoo, että asiakas on ollut verkkopankkitunnuksia käyttäessään ja tunnuksia verkkosivuille näppäillessään siinä käsityksessä, että hän on asioinut pankin kanssa tunnistautuakseen perintäyhtiön palveluun. Näin ollen Pankkilautakunta katsoo, ettei asiakas ole tietoisesti luovuttanut verkkopankkitunnuksiaan niiden käyttöön oikeudettomalle ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai digitaalisia palveluja koskevissa yleisissä ehdoissa tarkoitetusta tunnusten luovuttamisesta.

Pankki on tapauksessa todennut, että käytettäessä pankin pankkitunnuksia tunnistautumiseen toisen palvelun tarjoajan palvelussa tunnistuksessa ei kysytä puhelinnumeroa eikä syötettävää tunnuslukua ilmoiteta tekstiviestillä vaan kaikki tunnistuksessa käytettävät elementit kysytään tunnistautumis-ruudulla. Pankki on viitannut myös turvallisuusohjeisiinsa, joiden mukaan pankki ei koskaan ota yhteyttä sähköpostilla tai puhelimella kysyäkseen pankkitunnuksia. Pankki on todennut lisäksi, että asiakas itse ei ole antanut tunnuksiaan pankin tunnistuspalvelussa, vaan hän on luovuttanut pankkitunnukset ulkopuoliselle, jonka kanssa pankilla ei ole sopimusta. Pankki on viitannut edelleen siihen, että asiakkaalla ei pankin tietojen mukaan olisi pitänyt olla väitetyn perintäfirman kanssa mitään tekemistä.

Pankkilautakunta katsoo, että vaikka asiakkaalla ei olisi ollutkaan aiemmin mitään tekemistä kyseisen perintätoimiston kanssa, on hän kertomansa mukaisesti voinut perustellusti ajatella jonkin maksamatta jääneen laskun perinnän saatetun kyseisen, todellisuudessakin olemassa olevan perintätoimiston hoidettavaksi.

Edelleen lautakunta katsoo, ettei asiakkaan lähtökohtaisesti voida olettaa tietävän, minkä tahojen kanssa pankilla on sopimus pankin pankkitunnusten käyttämisestä tunnistautumiseen toisen palveluntarjoajan palvelussa. Tässä tapauksessa asiakas on uskonut näin olleen ja hän on klikannut avaamillaan nettisivuilla ollutta pankin logoa tunnistautumistarkoituksessa. Asiakkaan mukaan verkkosivut, joilla hän asioi, näyttivät aidoilta eikä pankki ole kiistänyt asiakkaan kertomaa tai esittänyt asiasta muuta selvitystä.

Pankkilautakunta toteaa, että puhelinnumeroa tai tekstiviestejä ei käytetä verkkopankkitunnuksia tunnistautumiseen käytettäessä, mutta tämä ei kuitenkaan ole poissuljettua verkkopankkitunnusten käyttämisessä muutoin. Pankkilautakunnan tietojen mukaan esimerkiksi verkkopankissa tehtävien tilisiirtojen maksunvahvistuksen kohdalla on olemassa käytäntöjä, joissa pankki tekstiviestillä – tosin ennalta sovittuun ja asiakkaan pankille ilmoittamaan matkapuhelinnumeroon – ilmoittaa, mikä tunnusluku tunnuslukutaulukosta asiakkaan on verkkopankkiin kirjattava maksun vahvistaakseen. Pankkilautakunta kiinnittää huomiota myös siihen, ettei pankin turvallisuusohjeissa oleva varoitus koske välittömästi tämän tapauksen tilannetta, jossa asiakkaaseen on alun perin ottanut yhteyttä muu palveluntarjoaja kuin pankki ja asiakas on kirjannut käyttäjätunnuksen, salasanan sekä tekstiviestitse pyydetyn tunnusluvun sisäänkirjautumissivuiksi olettamilleen verkkosivuilla.

Edellä mainittu huomioiden Pankkilautakunta ei pidä erityisen moitittava sitä, ettei asiakas tuossa vaiheessa, kun häntä tekstiviestitse pyydettiin kirjautumaan verkkosivuille tiettyä tunnuslukua käyttäen, ole heti ymmärtänyt kyseenalaistaa menettelyä, jolla hän on olettanut olleensa kirjautumassa perintätoimiston palveluun. Pankkilautakunta kuitenkin katsoo, että huolellisesti toimiessaan asiakkaan olisi tullut viimeistään siinä vaiheessa, kun tunnistautumista ja tiettyä tunnuslukua pyydettiin toistamiseen, ymmärtää kyseenalaistaa menettely ja olla yhteydessä esimerkiksi pankkiin tiedustellakseen menettelyn asianmukaisuutta. Mikäli asiakas olisi näin toiminut, olisi tapauksessa pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta todennäköisesti voitu välttyä.

Edellä esitettyyn viitaten Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n 1 momentin ja pankin digitaalisia palveluja koskevien yleisten ehtojen mukaisia velvollisuuksiaan ja käyttäneen verkkopankkitunnuksiaan varomattomasti. Asiassa saatu kokonaisselvitys ja erityisesti pankkitunnuksia oikeudetta käyttäneiden ilmeisen uskottavaksi laatima kokonaisuus sekä asiakkaalle tilanteessa herännyt pelko maksuhäiriömerkinnän saamisesta huomioon ottaen Pankkilautakunta katsoo, ettei asiakkaan menettely kuitenkaan osoita törkeää huolimattomuutta. Näin ollen lautakunta katsoo asiakkaan vastuun hänen verkkopankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuvan 150 euroon.

Lopputulos

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella asiakkaan verkkopankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankin digitaalisia palveluja koskevien yleisten ehtojen mukaisia velvollisuuksiaan. Kokonaisuus huomioiden Pankkilautakunta kuitenkin katsoo, ettei asiakkaan menettely tapauksessa osoita törkeää huolimattomuutta.

Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki ottaa vastatakseen verkkopankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 150 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Kallio
Lehtonen
Pulkkinen
Railas

Tulosta