Tapahtumatiedot
Asiakkaan verkkopankkitunnuksilla tehtiin hänen tileiltään kaksi oikeudetonta tilisiirtoa, 4.9.2013 6.000 euroa ja 5.9.2013 15.000 euroa. Verkkopankkitunnukset suljettiin 12.9.2013.
Poliisin tutkintailmoitukseen (13.9.2013) kirjatun mukaan asiakas on huomannut verkkopankkia käyttäessään, että hänellä oli kaksi tuntematonta nostotapahtumaa, 6.000 euroa ja 15.000 euroa. Asiakas oli asioinut verkkopankissaan 11.9.2013 ja huomannut, että tililtä nro 1 oli 4.9.2013 nostettu 6.000 euroa ja tililtä nro 2 oli 5.9.2013 nostettu 15.000 euroa. Rahat oli siirretty tilille nro X ja saajana Y, jota asiakas ei tunne. Epäilys on, että B-niminen mies on voinut siirtää rahat asiakkaan tililtä. Asiakas on tuntenut/seurustellut B:n kanssa kolme kuukautta ja tällä on asiakkaan kotona ollut mahdollisuus päästä asiakkaan henkilökohtaisiin pankkitunnisteisiin ja muihin henkilöpapereihin. Rahasiirtoja tehtäessä on käytetty asiakkaan osoitetietoja, pankkitunnuksia ja henkilötunnusta.
Asiakkaan valitus Pankkilautakunnalle
Asiakas vaatii, että pankki ottaa vastattavakseen verkkotunnusten oikeudettomasta käytöstä aiheutuneen vahingon kokonaan eli 21.000,00 euron osalta tai toissijaisesti 20.850 euron osalta ja palauttaa summan asiakkaalle laillisine korkoineen.
Molemmat maksutapahtumat on tehty samalle tilille, saajana Y, jota asiakas ei tunne. Tilisiirrot on tehty käyttäen asiakkaan pankkitunnuksia, mutta asiakas ei ollut niitä itse tehnyt eikä myöskään vahvistanut puhelimitse tai millään muullakaan tavalla kyseisiä siirtoja.
Asiakas huomasi tilisiirrot kirjautuessaan verkkopankkiin pankkitunnuksillaan 12.9.2013. Asiakas ilmoitti välittömästi oikeudettomat siirrot havaittuaan asiasta pankkiin puhelimitse ja pankkitunnukset suljettiin. Asiakas teki 13.9.2013 asiasta reklamaation pankille sekä rikosilmoituksen poliisille.
Asiakas oli säilyttänyt pankkitunnuksiaan 40 m2 suuruisessa asunnossaan. Käyttäjätunnuksen sisältävä tuloste oli erillisessä tietokonesalkussa, joka oli yleensä olohuoneen pöydän vierellä ja turvalukuluettelo oli makuuhuoneen kirjahyllyssä olevassa pahvilaatikossa olevassa kansiossa. Pankkitunnukset, turvalukuluettelo taikka henkilöllisyystodistus eivät olleet missään vaiheessa kateissa.
Asiakas on poliisilta saanut tietää, että oikeudettomat tilisiirrot on ilmeisesti tehnyt asiakkaan seurustelukumppani B, joka oli mahdollisesti päässyt käsiksi asiakkaan henkilökohtaisiin asiakirjoihin asiakkaan kotona. Asiakas ei kuitenkaan ole luovuttanut tunnuksia B:lle ja oli pitänyt tunnusten säilytyspaikan tältä salassa. Asiakas ja B olivat seurustelleet huhti-kesäkuussa 2013, jolloin he olivat pääosin asuneet yhdessä asiakkaan kotona. Seurustelun päätyttyä kesäkuun lopussa 2013 asiakas oli vaihtanut asuntonsa lukituksen.
Pankki on katsonut asiakkaan laiminlyöneen pankin ja asiakkaan välisten sopimusehtojen mukaiset velvollisuudet, koska asiakas ei ollut hävittänyt käyttäjätunnuksen sisältävää tulostetta sopimusehtojen mukaisesti ja olisi säilyttänyt tunnistetietoja asunnossaan helposti löydettävissä. Asiakas katsoo, että pankin kanta asiassa on väärä seuraavilla perusteilla.
1. Asiakas ei ole laiminlyönyt maksupalvelulain 53 §:ää taikka pankin verkkopalveluehtoja tunnistamistietojen säilyttämisestä kuin enintään siltä osin, että hän ei ollut pankin yleisten sopimusehtojen mukaisesti hävittänyt käyttäjätunnisteen sisältävää tulostetta, vaan tämä oli säilytetty tunnuksen muistilappuna. Vaatimus tulosteen hävittämisestä on ns. yllättävä ja ankara ehto eikä pankin edustaja ollut valistanut asiakasta tällaisesta vaatimuksesta. Ohjetta tunnuslukutulosteen hävittämisestä ei ole myöskään pankin internetsivuilla. Maksupalvelulain 53 §:n säätämistä koskevassa hallituksen esityksessä todetaan:
Jos varotoimia koskeva sopimusehto on maksupalvelun käyttäjän kannalta ankara tai yllättävä, ehdosta on erityisesti huomautettava maksupalvelu käyttäjälle tai sitä on muutoin korostettava ennen sopimuksen tekemistä. Jollei näin tehdä, ankara tai yllättävä ehto ei yleisten sopimusoikeudellisten periaatteiden mukaan tule puitesopimuksen osaksi.
2. Asiakas lähtee siitä, että hänen menettelynsä tunnistetietojen säilyttämisessä ei ole ollut huolimatonta ja jos onkin, niin huolimattomuus ei missään tapauksessa ole asteeltaan törkeää.
Asiakas oli säilyttänyt käyttäjätunnuksensa ja turvalukunsa lukitussa asunnossaan. Asiakas ei luovuttanut pankkitunnuksia kenellekään. Asiakkaalla oli käsityksensä mukaan ollut käytössä pankin tarjoama maksujen lisävahvistuspalvelu, jonka olisi tullut estää tilin oikeudeton käyttö suurempia summia maksettaessa. Asiakas olikin erään kerran keväällä 2013 saanut pankista erillisen yhteydenottopyynnön, kun oli yrittänyt tehdä 4.000 euron tilisiirtoa. Asiakas oli välittömästi oikeudettomat maksusiirrot havaittuaan ilmoittanut asiasta pankille.
Asiakkaan mielestä ainoa mahdollinen moitearvostelu asiakasta kohtaan voi liittyä siihen, onko käyttäjätunnuksen ja turvalukulistan säilyttäminen pienehkössä 40 m2 suuruisessa asunnossa ollut huolimatonta. Sopimusehtoja ei ole varsinaisesti rikottu, koska tunnistetietoja on siis säilytetty erillään. Sopimusehdot eivät myöskään edellytä tunnistetietojen säilyttämistä lukkojen takana, etenkään kun säilytys on tapahtunut lukitussa asunnossa. Asiakkaan menettelyä ei voida pitää ainakaan törkeän huolimattomana. Asiakas viittaa pankkilautakunnan ratkaisusuositukseen 59/11, 9.3.2012, ja Kouvolan hovioikeuden antamaan ratkaisuun 5.1.2012 nro 4.
3. Pankki on toiminut huolimattomasti ja sopimussuhteissa edellytettävän lojaliteettiperiaatteen vastaisesti hyväksyessään asiakkaan tilinkäyttöön täysin poikkeukselliset 6.000 euron ja 15.000 euron maksut ilman niiden asianmukaista ja huolellista lisävahvistamista. Tämä johtaa siihen, että pankki on omalla huolimattomuudellaan ja lojaliteettiperiaatteen vastaisella menettelyllään aiheuttanut kyseisen vahingon ja siten vastuussa tai ainakin osavastuussa siitä. Pankin menettely on huomioitava myös osana sitä kokonaisharkintaa, onko asiakas toiminut asiassa huolimattomasti ja mikä on asiakkaan mahdollisen huolimattomuuden aste.
Pankkitunnuksilla käytettävien palvelujen yleisten sopimusehdoissa on mainittu pankin oikeudesta pyytää lisävahvistus asiakkaan verkkopankkipalvelun kautta antamalle maksutoimeksiannolle. Edelleen yleisten sopimusehtojen mukaan pankki olisi voinut jättää maksua koskevan toimeksiannon täyttämättä, jos on ollut syytä epäillä väärinkäytöstä, mikä tässä tilanteessa on ollut ilmeistä.
Tililtä nro 1 ei ollut ainakaan viimeisen viiden kuukauden aikana tehty yhtään yli tuhannen euron nostoa tai tilisiirtoa. Silti pankki hyväksyi oikeudettoman 6.000 euron tilisiirron sellaisen yksityishenkilön pankkitilille, minne tililtä ei ollut aikaisemmin tehty mitään siirtoja.
Tililtä nro 2 tyhjennettiin kokonaan 15.000 euron tilisiirrolla sellaisen yksityishenkilön pankkitilille, minne tililtä ei ollut aikaisemmin tehty mitään siirtoja.
Selvitys lisävahvistuspuheluiden käsittelystä osoittaa asiakkaan mielestä pankin huolimattomuuden tilisiirron hyväksymisten osalta. Pankilla on ollut tiedossa asiakkaan puhelinnumero. Asiakkaan nimi on harvinaisen supisuomalainen nimi. Silti pankki on hyväksynyt täysin epänormaalit tilisiirrot sellaisten puhelimitse tehtyjen vahvistusten perusteella, joissa soitto oli tullut tuntemattomasta numerosta ja suomea oli puhuttu murtaen. Toisessa puhelussa soittaja on ilmeisesti jopa tarkastanut henkilötunnuksen loppuosan, jota voinee pitää hyvin epätavallisena, kun on kyseessä oma henkilötunnus. Myöskään se, että soittaja on kertonut asuvansa Pariisissa ja käyttävänsä prepaid-liittymää, ei ole estänyt tilisiirtoa. Menettely on ollut huolimatonta sekä sopimussuhteessa edellytettävän lojaliteettiperiaatteen vastaista ja hyvän pankkitavan vastaista, jolloin viime kädessä pankin on korvattava asiakkaan vahinko. Asiakas viittaa ennakkoratkaisuun KKO 1992:3.
Edellä mainitut seikat osoittavat pankin menettelyn olleen huolimatonta sekä sopimussuhteessa edellytettävän lojaliteettiperiaatteen ja hyvän pankkitavan vastaista, jolloin pankin on korvattava asiakkaan kärsimä vahinko.
Pankin vastaus asiakkaan valitukseen
Asiakas on 16.9.2013 pankille lähettämässään sähköpostissa kertonut, että hän säilytti käyttäjätunnusta kotonaan kirjahyllyssä muiden pankkipapereiden yhteydessä. Tunnuslukuja hän säilytti samassa kirjahyllyssä laskujen yhteydessä tai työpöydällä tietokoneen yhteydessä. Siis molemmat tunnistamistiedot oli helposti löydettävissä ja yhdistettävissä huoneistossa asuneen sivullisen toimesta.
Asiakas on pyytänyt selvitystä siitä, miten pankki on toiminut siltä osin, kun sopimusehdoissa mainitaan pankin oikeudesta pyytää lisävahvistusta asiakkaan verkkopankkipalvelun kautta antamalle maksutoimeksiannolle.
Pankin lisävahvistustoiminto on kehitetty pankin toimesta lisäämään verkkopankkimaksujen turvallisuutta väärinkäytöksiä vastaan. Palvelun tarjoamisesta ei ole sopimuksessa erikseen sovittu asiakkaiden kanssa ja se tapa, miten pankki vahvistustilanteessa toimii, riippuu siitä, minkälaisesta palvelusta asiakas itse on pankin kanssa sopinut.
Asiakkaita on verkkopankissa ja pankin ulkoisilla Internet-sivuilla ohjeistettu maksun lisävahvistuksesta seuraavaa:
Näin toimii maksun lisävahvistus
Lisävahvistaminen voidaan tehdä joko tekstiviestillä tai soittamalla. Viestit ja soitot ovat asiakkaalle maksuttomia käytettäessä palvelua kotimaassa suomalaisella liittymällä.
Tekstiviestipalvelu
[…]
Rekisteröidy tekstiviestipalveluun
Tekstiviestivahvistaminen edellyttää rekisteröitymistä tekstiviestipalveluun.
[…]
Tekstiviesti A vahvistaa maksun
[…]
Vahvistaminen soittamalla
Mikäli et käytä tekstiviestipalvelua vahvista maksu soittamalla lisävahvistuspalveluun 0800 165 656 (maksuton Suomessa suomalaisilla liittymille). Vahvistaminen soittamalla toimii asiakaspalveluumme maksu 24h/vrk.
Koska asiakas ei ollut rekisteröitynyt pankin verkkopankkimaksujen tekstiviestipalveluun, vahvistus tapahtui toisella mahdollisista vahvistuskeinoista. Verkkopankkikäyttäjän täytyi itse soittaa annettuun puhelinnumeroon, jossa sitten tehtiin tietyt tarkentavat kysymykset, joilla pyrittiin varmistamaan maksun oikeudellisuus.
Pankki on kummassakin tapauksessa vaatinut lisävahvistuksen, ennen kuin maksut on suoritettu. Kumpikin lisävahvistuspuhelu on kuunneltu pankin toimesta ja niiden sisältö oli seuraava:
4.9. puhelu
• Lisävahvistus summalle 6.000,00 euroa
• Asiakas todentanut henkilöllisyytensä jo ennen puhelun yhdistymistä neuvojalle
• Esitteli itsensä asiakkaan nimellä
• Soittaja aloitti puhelun ihmetellen mikä on maksunvahvistus ja hänelle kerrottiin se
• Soittaja on nainen (selkeästi eri henkilö kuin puhelussa, jonka asiakas on soittanut pankille 12.9., jossa tunnukset suljettiin väärinkäytösepäilystä johtuen). Ääni on erittäin rauhallinen ja puhuu suomea hyvin vähän murtaen. Kysyttiin hetun loppuosa, jonka asiakas tuntui tarkistavan jostain. Tämän lisäksi kysyttiin osoite, summa ja saaja
• Puhelu on soitettu tuntemattomasta numerosta
• Asiakkaalta kysyttiin puhelun päätteeksi haluaako tekstiviestivahvistuksen käyttöön. Asiakas ei halunnut, ilmoitti asuvansa Pariisissa ja omistavansa Prepaid-liittymän
• Asiakas oli kiitollinen maksun vapautuksesta
5.9. puhelu
• Lisävahvistus summalle 15.000,00 euroa
• Asiakas todentanut henkilöllisyytensä jo ennen puhelun yhdistymistä neuvojalle
• Esitteli itsensä asiakkaan nimellä
• Asiakkaalta kysytty verkkopankin käyttäjätunnusta, vaikka se ei kuulu pankin toimintatapoihin. Tämän lisäksi kysyttiin hetu, osoite, summa ja saaja
• Soittaja on nainen (selkeästi eri henkilö kuin puhelussa, jonka asiakas on soittanut pankille 12.9., pankin mielestä myös eri henkilö kuin 4.9. soitetussa puhelussa) Ääni on erittäin rauhallinen ja puhuu suomea hyvin vähän murtaen.
• Puhelu on soitettu tuntemattomasta numerosta
Koska pankilla ei ole mitään mahdollisuuksia tunnistaa asiakasta äänestä eikä myöskään mitään syytä epäillä kysymyksessä olleen tunnusten oikeudeton käyttö, suoritettiin maksut normaalisti.
Mitä tulee asiakkaan väitteeseen siitä, että pankki oli toiminut huolimattomasti tilisiirron hyväksymisen osalta, koska ei ollut selvittänyt asiakkaan puhelinnumeroa ja soittanut hänelle, pankki toteaa, että pankki toimi vahvistuksen osalta täysin asiakkaille antamiensa ohjeiden ja tietojen mukaisesti. Pankki ei voi lisävahvistustapauksissa erikseen lähteä etsimään asiakkaan puhelinnumerotietoja pelkästään nimen perusteella joko pankin asiakastiedoista tai yleisesti saatavilla olevista puhelinnumerotiedostoista ja hoitaa vahvistuspuhelun näin löytämillään tiedoilla. Tällainen menettely olisi erittäin suuri turvallisuusriski sekä pankin että asiakkaan kannalta. Lisäksi pankkitunnuksilla käytettävien palvelujen ehtojen mukaan pankki tai muu asianomainen palveluntarjoaja ei ole velvollinen täydentämään asiakkaan pankille antamia tietoja.
Asiakas on pankin mielestä laiminlyönyt pankin ja asiakkaan välisten sopimusehtojen mukaiset velvollisuudet, koska ei ole hävittänyt käyttäjätunnuksen tunnuslukua sopimusehtojen mukaisesti. Hän ei ole edes yrittänyt muuntaa tunnuslukua sellaiseen muotoon, että se olisi ollut vaikeampi selvittää asunnossa asuneen ulkopuolisen henkilön toimesta.
Pankki katsoo, että asiakkaan menettely tapauksessa osoittaa sen laatuista piittaamattomuutta ehtojen mukaisista velvollisuuksista ja maksuvälineen hallintaan liittyvistä turvallisuusrikeistä, ettei pankki ole velvollinen korvaamaan hänelle pankkitunnusten oikeudettomasta käytöstä aiheutunutta vahinkoa miltään osin.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
-pankkitunnuksilla käytettävien palvelujen yleiset sopimusehdot
-tutkintailmoitus (ilmoitusaika 13.9.2013)
-kuittikopiot riitautetuista tilisiirroista
-tiliotteita
Pankkilautakunnan ratkaisusuositus
Tapauksessa on kyse siitä, miten vastuu asiakkaan verkkopalvelun käyttäjätunnuksen ja tunnuslukuluettelon oikeudettomasta käytöstä aiheutuneesta vahingosta jakautuu asiakkaan ja pankin välillä.
Asiakas katsoo, että hän ei ole varsinaisesti rikkonut sopimusehtoja säilyttäessään tunnistetietoja erillään, ja lisäksi hän katsoo pankin menettelyn olleen huolimatonta maksujen lisävahvistuspuheluiden käsittelyssä. Asiakas vaatii, että pankki ottaa vastattavakseen verkkotunnusten oikeudettomasta käytöstä aiheutuneen vahingon kokonaan tai toissijaisesti 150 euron ylittävältä osalta ja palauttaa summan asiakkaalle laillisine korkoineen.
Pankki katsoo toimineensa maksujen lisävahvistusten osalta täysin asiakkaille antamiensa ohjeiden ja tietojen mukaisesti ja asiakkaan menettelyn tunnusten säilyttämisessä osoittavan sen laatuista piittaamattomuutta ehtojen mukaisista velvollisuuksista ja maksuvälineen hallintaan liittyvistä turvallisuusriskeistä, ettei pankki ole velvollinen korvaamaan hänelle pankkitunnusten oikeudettomasta käytöstä aiheutunutta vahinkoa miltään osin.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulaki
Maksupalvelulain 53 §:n 1 momentin mukaan maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä tunnistetiedoista.
Lain 54 §:n 1 momentin mukaan maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n mukaan maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa maksuvälineen oikeudettomasta käytöstä vain, jos:
1) hän tai muu maksuvälineen haltija on luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) maksuvälineen katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) hän tai muu maksuvälineen haltija on laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 150 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Pykälän 3 momentin 1 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä paitsi jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Lain 63 §:ssä säädetään palveluntarjoajan vastuusta oikeudettomasta maksutapahtumasta seuraavasti: Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Lain 72 § koskee todistustaakkaa ja pykälän toisen momentin mukaan se seikka, että palveluntarjoaja voi näyttää, että suostumus maksutapahtuman toteuttamiseen on annettu maksuvälineellä, ei välttämättä yksin riitä osoittamaan, että maksuvälineen haltija on antanut suostumuksensa maksutapahtuman toteuttamiseen, toiminut petollisesti taikka laiminlyönyt tahallisesti tai törkeän huolimattomasti 53 ja 54 §:ssä säädettyjä velvollisuuksiaan.
Pankkitunnusehdot
Pankin pankkitunnuksilla käytettävien palvelujen yleisten sopimusehtojen (pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehdoissa asiakas sitoutuu säilyttämään tunnistautumistiedot huolellisesti ja varmistamaan säännöllisesti, että tunnistautumistiedot ovat tallessa. Asiakkaan tulee huolehtia, etteivät tunnistautumistiedot joudu sivullisen haltuun. Asiakas sitoutuu säilyttämään käyttäjätunnuksesta ja tunnusluvuista koostuvat tunnistautumistiedot erillään toisistaan. Käyttäjätunnuksen sisältävä tuloste on hävitettävä, eikä käyttäjätunnusta saa kirjoittaa tai tallentaa muistiin helposti tunnistettavassa muodossa. Mikäli tunnistautumistiedot ovat kadonneet tai asiakkaalla on syytä epäillä, että ne ovat joutuneet tai saattaneet joutua sivullisen haltuun, asiakas on velvollinen välittömästi ilmoittamaan tästä pankille palvelujen asiattoman käytön estämiseksi. Ilmoituksen voi tehdä henkilökohtaisesti Suomessa oleviin pankin konttoreihin niiden aukioloaikoina tai puhelimitse pankin asiakaspalveluun sen aukioloaikoina. Ilmoituksen voi tehdä asiakaspalvelun aukioloaikojen ulkopuolella pankin ilmoittamaan sulkupalveluun.
Pankkitunnusehtojen mukaan pankki voi turvallisuussyistä pyytää lisävahvistuksen asiakkaan verkkopankkipalvelun kautta antamalle maksutoimeksiannolle. Lisävahvistus on osa maksutoimeksiantoa ja maksutoimeksianto katsotaan annetuksi pankille vasta kun pankki vastaanottanut asiakkaalta lisävahvistuksen ohjeistuksen mukaisesti. Pankki antaa lisävahvistuksesta tarkempia tietoja lisävahvistusta vaativan maksun yhteydessä sekä verkkopankkipalvelua koskevissa ohjeissa. Ellei pankille toimiteta pankin pyytämää lisävahvistusta ohjeistuksen mukaisen ajan sisällä, voi pankki jättää maksun välittämättä.
Ratkaisun perustelut
Pankkilautakunnan on asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi arvioitava, voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaiset velvollisuutensa, ja onko asiakkaan mahdollinen huolimattomuus törkeää. Lisäksi on arvioitava, voidaanko pankin katsoa menetelleen huolimattomasti maksujen lisävahvistuspuheluiden käsittelyssä.
Pankkitunnusten säilyttäminen
Asiassa saadun selvityksen mukaan oikeudettomat tilisiirrot on tehnyt asiakkaan seurustelukumppani B, joka oli päässyt käsiksi asiakkaan henkilökohtaisiin asiakirjoihin asiakkaan kotona. Koska asiakkaan käyttäjätunnus ja turvalukuluettelo ovat tunnusten väärinkäytön jälkeen olleet edelleen tallessa asiakkaalla, pitää Pankkilautakunta todennäköisenä, että B on asiakkaan huomaamatta kuvannut tai muutoin tallentanut tulosteiden sisällön suunnittelemaansa myöhempää väärinkäyttöä varten. Tämän tehdäkseen on B:n täytynyt pystyä asiakkaan kodissa löytämään ja tunnistamaan asiakkaan käyttäjätunnuksen ja tunnuslukuluettelon verkkopankkitunnuksiksi.
Tapauksessa asiakas on kertomansa mukaan säilyttänyt käyttäjätunnuksen sisältävän alkuperäisen tulosteen tietokonesalkussa, joka oli yleensä olohuoneen pöydän vierellä, ja turvalukuluettelon makuuhuoneen kirjahyllyssä olevassa pahvilaatikossa olevassa kansiossa. Riidatonta näin ollen on, että asiakas ei ole hävittänyt käyttäjätunnuksen sisältävää tulostetta ja on siten laiminlyönyt pankkitunnusehtojen mukaista nimenomaista velvollisuuttaan. Asiakas on tältä osin vedonnut siihen, että pankkitunnusehtojen vaatimus tulosteen hävittämisestä on ns. yllättävä ja ankara ehto eikä pankin edustaja ollut valistanut asiakasta tällaisesta vaatimuksesta. Ohjetta tunnuslukutulosteen hävittämisestä ei ole myöskään pankin internetsivuilla.
Pankkilautakunta arvioi asiakkaan menettelyä pankkitunnusehdoissa asetettujen velvollisuuksien noudattamisessa kokonaisuutena.
Pankkilautakunta toteaa vastuun pankkitunnusten huolellisesta säilyttämisestä olevan maksupalvelulain ja pankkitunnusehtojen mukaan asiakkaalla. Tämä on luonnollista ottaen huomioon sen, että viime kädessä – riippumatta esimerkiksi tunnukset myöntäneen pankin ohjeistuksesta tai pankkitunnusehdoista – ainoastaan asiakas voi vaikuttaa siihen, miten ja missä olosuhteissa hän tunnuksiaan säilyttää.
Pankkilautakunta pitää ilmeisenä, että käyttäjätunnuksen säilyttäminen alkuperäisessä tulosteessa lisää olennaisesti pankkitunnusten väärinkäytön mahdollisuutta. Näin etenkin, jos tunnuksia säilytetään sellaisissa olosuhteissa ja paikassa, joissa sivullisen on mahdollista päästä tunnuksiin käsiksi pankkitunnusten haltijan huomaamatta. Näin ollen Pankkilautakunta katsoo, että arvioitaessa pankkitunnusten haltijan huolellisuutta tunnusten säilyttämisessä on käyttäjätunnuksen säilyttäminen alkuperäisessä tulosteessa yksi olennainen arvioinnissa huomioitava seikka riippumatta siitä, onko tunnusten haltija pankkitunnusehdoissa nimenomaisesti sitoutunut hävittämään käyttäjätunnuksen sisältävän alkuperäisen tulosteen tai onko pankki asiakastaan muulla tavoin asiasta ohjeistanut. Viimeksi todetusta huolimatta Pankkilautakunta katsoo, että pankkitunnusehdoilla ja pankin asiakkaalleen antamalla ohjeistuksella erityisesti käyttäjätunnusta asiakkaalle luovutettaessa on kuitenkin olennaista merkitystä arvioitaessa asiakkaan menettelyn mahdollista moitittavuutta.
Pankkilautakunta katsoo, että asiakas olisi tässä tapauksessa - ottaen erityisesti huomioon hänen kotonaan pääosin asunut seurustelukumppaninsa - kohtuullisiksi katsottavin toimin hävittämällä käyttäjätunnuksen sisältävän alkuperäisen tulosteen ja noudattamalla näin pankkitunnusehtojen nimenomaista velvollisuutta voinut todennäköisesti välttyä pankkitunnustensa oikeudettomalta käytöltä. Näin ollen Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan.
Pankkilautakunta kuitenkin katsoo, ettei tämä asiakkaan laiminlyönti yksinään osoita asiakkaan törkeää huolimattomuutta pankkitunnusehtojen noudattamisessa. Ottaen lisäksi huomioon, että asiakas on säilyttänyt käyttäjätunnusta ja tunnuslukuluetteloa kotonaan pankkitunnusehtojen mukaisesti erillään toisistaan ja on ilmoittanut välittömästi tunnusten oikeudettoman käytön havaittuaan asiasta pankille, Pankkilautakunta katsoo, että asiakkaan em. huolimattomuudesta johtuva vastuu tunnusten oikeudettomasta käytöstä rajoittuu 150 euroon.
Maksun lisävahvistuspalvelu
Pankkitunnusehtojen mukaan pankki voi turvallisuussyistä pyytää lisävahvistuksen verkkopankin kautta annetulle maksutoimeksiannolle ja ellei pankille toimiteta pankin pyytämää lisävahvistusta ohjeistuksen mukaisen ajan sisällä, voi pankki jättää maksun välittämättä. Ehtojen mukaan pankki antaa lisävahvistuksesta tarkempia tietoja lisävahvistusta vaativan maksun yhteydessä sekä verkkopankkipalvelua koskevissa ohjeissa.
Pankkilautakunta katsoo pankin lisävahvistuspalvelun toimineen tässä tapauksessa pankin asiakkailleen antamien ohjeiden ja tietojen mukaisesti ja ettei pankin voida katsoa toimineen maksujen lisävahvistuspuheluiden käsittelyssä huolimattomasti tavalla, joka vaikuttaisi tässä tapauksessa pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon vastuunjakoon asiakkaan ja pankin välillä.
Viivästyskorko
Maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 2009/169) mukaan palveluntarjoajan 63 §:n mukainen velvollisuus tehdä palautus välittömästi ei tarkoita sitä, että palveluntarjoajan olisi aina tehtävä palautus heti sen jälkeen, kun asiakas on esittänyt väitteen maksutapahtuman oikeudettomuudesta ja pyytänyt sen palauttamista. Palveluntarjoaja voi ennen palautuksen tekemistä pyrkiä mahdollisimman joutuisasti selvittämään sitä, onko maksutapahtuma ollut oikeutettu vai ei.
Hallituksen esityksen mukaan palveluntarjoajalla on kuitenkin 72 §:n 1 momentin mukaisesti näyttövelvollisuus siitä, että maksutapahtuma on ollut oikeutettu. Näin ollen palveluntarjoaja, joka ei palauta asiakkaan oikeudettomaksi väittämän maksutapahtuman rahamäärää välittömästi palautuspyynnön esittämisen jälkeen, kantaa riskin siitä, että palautuksen tekemisen katsotaan viivästyneen selvittelytyöhön käytettynä aikana, jos palveluntarjoaja ei loppujen lopuksi kykene osoittamaan, että maksutapahtuma on ollut oikeutettu. Edelleen maksupalvelulain 73 §:n mukaan asiakkaalla on oikeus viivästyskorkoon korkolain (633/1982) nojalla, jos palveluntarjoaja viivästyy lain 63 §:n mukaisen palautuksen suorittamisessa.
Edellä esitettyyn viitaten Pankkilautakunta katsoo asiakkaan olevan oikeutettu viivästyskorkoon, joka lasketaan tapauksessa pankin vastuulle jäävälle vahingon määrälle sen asiakkaalle hyvittämiseen saakka siitä päivästä lähtien, jona asiakas ensimmäisen kerran esitti pankille vaatimuksen oikeudettomien maksutapahtumien palauttamisesta.
Ratkaisu
Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan säilyttäessään käyttäjätunnustaan pankkitunnusehtojen vastaisesti käyttäjätunnuksen sisältävässä alkuperäisessä tulosteessa. Lautakunta kuitenkin katsoo, ettei tämä laiminlyönti yksinään osoita asiakkaan törkeää huolimattomuutta, ja että asiakkaan vastuu pankkitunnusten oikeudettomasta käytöstä rajoittuu näin ollen 150 euroon.
Edelleen Pankkilautakunta katsoo pankin lisävahvistuspalvelun toimineen tässä tapauksessa pankin asiakkailleen antamien ohjeiden ja tietojen mukaisesti ja ettei pankin voida katsoa toimineen maksujen lisävahvistuspuheluiden käsittelyssä huolimattomasti tavalla, joka vaikuttaisi tässä tapauksessa pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon vastuunjakoon asiakkaan ja pankin välillä.
Edellä esitettyyn viitaten Pankkilautakunta suosittaa pankkia korvaamaan asiakkaalle verkkopankkitunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta 20.850 euroa ja maksamaan tälle asiakkaan saatavalle korkolain mukaista viivästyskorkoa siitä päivästä lähtien, jona pankki vastaanotti asiakkaan ensimmäisen reklamaation oikeudettomien maksutapahtumien palauttamisesta.
Pankkilautakunnan päätös on ollut yksimielinen. Tämän päätöksen antamiseen osallistuivat puheenjohtaja Sillanpää, jäsenet Kallio ja Lehtonen sekä varajäsen Railas. Sihteerinä toimi Hidén.
PANKKILAUTAKUNTA