top of page
Etsi

Voiko verkkopankin käyttäjä saada rahansa pankilta takaisin syötettyään tunnuksen valepankin sivuille?

Verkossa toimivat rikolliset anastavat vuosittain suomalaisilta verkkopankin käyttäjiltä miljoonia euroja. Pankit ja viranomaiset varoittelevat verkkopankkitunnusten kalastelijoista, mutta silti joku aina haksahtaa kalasteluviestiin ja menettää rahansa. 


Tässä blogikirjoituksessa käsittelen sitä, missä tilanteissa verkkopankkitunnusten haltijan, josta käytän termiä ”uhri”, voidaan katsoa toimineen siinä määrin huolellisesti, että ei ole aivan itsestään selvää, etteikö pankki voisi joutua korvaamaan menetystä.  


Korkein oikeus on ottanut ratkaistavakseen kaksi tällaisesta tapauksesta tehtyä valitusta. Odotamme siten vielä ylimmän tuomioistuimen kantaa. Tämä kirjoitus perustuu hovioikeuden tuomioissa esille tuotuihin seikkoihin. Toisessa tapauksessa itä-Suomen hovioikeus (ratkaisu Nro 462, annettu 13.11.2024) katsoi, että uhri ei ollut toiminut törkeän huolimattomasti ja velvoitti pankin korvaamaan anastetut varat. Toisessa tapauksessa Vaasan hovioikeus (ratkaisu Nro 342, annettu 19.9.2024) puolestaan katsoi, että uhri oli toiminut törkeän huolimattomasti ja ettei pankki ollut vastuussa varojen menettämisestä. 


Ratkaistaessa verkkotunnuksen haltijan huolimattomuutta, arvioitavaksi tulee se, missä tilanteissa tunnustenhaltija on laiminlyönyt velvollisuuksiaan siinä määrin huolimattomasti, että tämän voidaan katsoa omalla toiminnallaan aiheuttaneen rahojensa menettämisen. Ei ole aivan yksiselitteisen selvää, että verkkopankkitunnustensa valesivustolle luovuttanut olisi poikkeuksetta vastuussa rahojen menetyksestä. 


Oikeuskäytäntöä asiasta ei juurikaan ole edellä mainittuja ratkaisuja lukuunottamatta. Sen sijaan Vakuutus- ja rahoitusneuvonnan yhteydessä toimiva Pankkilautakunta on antanut lukuisia ratkaisuja, jotka useimmiten ovat päätyneet siihen, että pankin ei ole suositeltu maksavan korvausta uhrille. 


Ratkaisussaan KKO 2018:71 kysymys oli fyysisten verkkopankkitunnusten ja avainlukulistan säilyttämisestä. Nyt ratkaisua odottavat puolestaan tapaukset, joissa verkkopankkitunnukset on saatu kalasteluviestien avulla. Ratkaisut myös osaltaan osoittavat sen, miten tekniikan kehittyessä ja huijaustapojen kirjon kasvaessa lain sisältöä joudutaan tulkitsemaan hyvin erilaisissa tilanteissa.


Kirjoitin tästä aiheesta, sillä työstettäväkseni tuli verkkohuijaus, jossa asiakkaani menetti useita tuhansia euroja. Pankki ei ole suostunut korvaamaan menetettyjä varoja ja pankki- ja rahoitusneuvonta FINEn neuvontavastaus oli melko lailla penseä mahdollisen korvauksen saamiselle. 


Lainsäädäntö


Maksupalvelulain (290/2010) 53 §:n mukaan:


Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.


Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.


Palveluntarjoajan on osaltaan varmistettava, että muilla kuin maksuvälineen haltijalla ei ole pääsyä maksuvälineeseen liittyviin henkilökohtaisiin turvatunnuksiin.”


Maksupalvelulain 62 § mukaan:


Maksupalvelun  käyttäjä,  joka  on  tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:

1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;

2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka

3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.


Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.


Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:

1 )siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;

2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;

3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai

4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.


Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.”


Edellä mainittujen säännösten valossa, tarkasteltaessa uhrin velvollisuuksia tämän kirjoituksen teeman puitteissa, olennaisia tekijöitä ovat: 

  1. kohtuullisesti huolehdittava maksuvälineestä (53 §)

  2. uhri vastaa koko menetyksestä, jos hän on toiminut tahallisesti tai törkeän huolimattomasti. Muussa tapauksessa hän vastaa menetyksestä vain 50 euron osalta


Molempiin edellä mainittuihin seikkoihin vaikuttavat hyvin paljon huijausten tekotapa ja niiden uskottavuus kuten myös uhrin yksilölliset ominaisuudet. Tämän vuoksi avaan alla hieman sitä, millaisia tekijöitä on otettu huomioon uhrin toiminnan huolellisuusarvion tekemisessä.


Uhrin törkeä huolimattomuus


Maksupalvelulaki on rakennettu siten, että tilinhaltija ei vastaa oikeudettomista maksuista, ellei sitten ole toiminut tahallisesti tai törkeän huolimattomasti.Tavallisen ja törkeän huolimattomuuden rajanveto on erityisen ongelmallista ja siihen vaikuttavat lukuisat eri tekijät. Vaa’an kallistuessa törkeän huolimattomuuden puolella, kärsii vahingon tilinomistaja/verkkotunnusten haltija. 


Maksupalvelulaki on säädetty maksupalveludirektiivin (2015/2366/EU) toimeenpanemiseksi. Direktiivi ei siten ole Suomessa suoraan sovellettavaa oikeutta, mutta siitä voidaan saada suuntaviivoja lain tulkintaan.


Maksupalveludirektiivin johdanto-osassa todetaan, että ”maksupalvelunkäyttäjän huolimattomuuden tai törkeän huolimattomuuden arvioimisessa olisi otettava huomioon kaikki olosuhteet. Väitetyn huolimattomuuden osoittava näyttö ja huolimattomuuden vakavuusaste olisi yleensä arvioitava kansallisen lainsäädännön mukaisesti. Huolimattomuuden käsite viittaa huolellisuusvelvollisuuden rikkomiseen, mutta törkeä huolimattomuus olisi sen sijaan määriteltävä vakavammaksi kuin pelkkä huolimattomuus niin, että se sisältää käyttäytymisen, johon kuuluu merkittävä määrä piittaamattomuutta, esimerkiksi maksutapahtuman toteuttamiseksi annettuun hyväksymiseen käytettyjen turvatunnuksien säilyttäminen maksuvälineen rinnalla avoimessa ja kolmansille osapuolille helposti havaittavissa muodossa” (perustelukappale 72).


Maksupalvelulain esitöiden mukaan (169/2009 vp s 75) mukaan ”törkeällä huolimattomuudella tarkoitetaan sellaista erittäin vakavaa varomattomuutta, joka osoittaa selvästi piittaamatonta suhtautumista maksuvälineen hallintaan ja käyttöön liittyviin turvallisuusriskeihin. Jotta huolimattomuutta voidaan pitää törkeänä, maksuvälineen haltijan toiminnan on selvästi ja olennaisesti poikettava siitä, mitä huolelliselta menettelyltä vaaditaan.”  Korkein oikeus on aiemmin todennut, että maksupalvelulain ja -direktiivin mukaisessa vastuunjaossa riskit maksuvälineen oikeudettomasta käytöstä kuuluvat lähtökohtaisesti palveluntarjoajalle (KKO 2018:71, kohta 24).


Kun tarkastelee yllä olevia lain esitöitä ja muuta materiaalia, vaikuttaisi siltä, että törkeän huolimattomuuden kriteeriä ei olisi tarkoituksella asetettu niin matalaksi, että kaikissa tilanteissa uhri joutuisi kärsimään vahingot. Kuitenkin on melko poikkeuksellista, että esimerkiksi valepankin sivustolle pankkitunnuksensa antaneen uhrin olisi katsottu toimineen siinä määrin huolellisesti, että pankki joutuisi korvaamaan menetykset.. 


Mitä seikkoja ratkaisuissa on otettu huomioon kun on arvioitu uhrin törkeää huolimattomuutta? 


Urkintaviestin ulkoasu


Verkkorikolliset lähettävät kieliopillisesti virheettömiä viestejä ja valepankin sivustot näyttävät aivan aitojen pankkien sivustoilta. Pankit pyrkivät tiedottamaan asiakkaitaan, että ne eivät koskaan lähetä linkkejä verkkopalveluihinsa sähköpostilla tai tekstiviestillä, mutta todellisuudessa näin on kuitenkin toimittu vuosia ja saatetaan edelleen toimia. Kyse ei välttämättä ole nimenomaan pankkipalveluihin johtavista linkeistä, mutta aina ei ole aivan selvää, milloin kyse on pankkipalveluihin tai saman yritysryhmän muihin palveluihin liittyvistä viesteistä. Usein ainoa ero aidolta pankin viestiltä näyttävään viestiin on lähettäjän osoite tai puhelinnumero. Kaikissa sähköpostisovelluksissa vastaanottaja ei edes näe automaattisesti lähettäjän osoitetta, vaan lähettäjäksi voi joissakin ohjelmistoissa valita aivan oikealta vaikuttavan pankkiryhmän nimen, jolloin lähettäjän osoitteen selville saaminen vaatii jo astetta valistuneempaa sähköpostinkäyttäjää. 


Pankin sopimusehtojen vastainen toiminta


Pankkien ehdoissa yleensä kielletään kirjautuminen tekstiviestillä tai sähköpostilla lähetettyyn kirjautumislinkkiin. Realiteetti kuitenkin on, että pankit lähettävät linkkejä esimerkiksi asiakaspalautekyselyihin ja muihin verkkopalveluihin. Tavalliselle kuluttajalle eron tekeminen sille, koska kyse on asiallisesta pankin lähettämästä linkistä ja verkkorikollisten lähettämästä linkistä ei ole laisinkaan selvää. Verkkorikollisilla on myös taito jäljentää pankkien viestintää ulkoasua ja kirjasintyyliä myöten, joten huijauksen tunnistaminen on jatkuvasti hankalampaa.


Varmistustekstiviestillä toimitetun koodin syöttäminen


Käytännössä pankit ovat useimmiten vedonneet ainakin siihen, että uhrin on täytynyt syöttää valepankin sivulle sellainen varmistuskoodi, jonka pankki on lähettänyt uhrille ja joka ei ole voinut olla kenenkään muun kuin uhrin tiedossa. Joskus pankin viestit ovat olleet lyhyitä ja epäinformatiivisia, toisinaan taas ne sisältävät jo liikaakin informaatiota. Tilanne on voinut myös olla asiakkaalle paineinen ja verkkorikollisten laatimat sivut ovat edellyttäneet nopeita toimia. 


Uhrin ikä ja kokemus verkkopankin käytöstä


Tekniikan ja verkkopalveluiden kehitys on ollut hyvin nopeaa viime vuosina. Asiakkaita on ajettu kohti mobiilipankkien käyttöä ja pankkien fyysistä palveluverkkoa on supistettu. Niin nuorille kuin myös vanhoille on kyllä opastettu se, miten verkko- tai mobiilipankki saadaan käyttöön, mutta niiden vaaroista valistaminen on jäänyt muun tiedottamisen varaan. 


Itä-Suomen hovioikeus antoi omassa ratkaisussaan painoarvoa sille, että verkkopankin käyttäjä oli nuori, joka oli käyttänyt verkkopankkia vasta noin vuoden ajan. Vastaavasti voitaneen katsoa, että verkkopankin käyttäjän korkea ikä puhuisi sitä vastaan, että tämä on suhtautunut pankkitunnustensa käsittelyyn välinpitämättömästi. 


Pankin mahdollisuus lisätä varotoimia


Yleensä sille, että pankilla on paremmat mahdollisuudet lisätä varotoimia sekä mm. rahanpesulain mukaan velvollisuus monitoroida rahaliikennettä, ei ole annettu painoarvoa. 


Millainen tapaus pöydälläni on?


Asiakkaalleni oli tullut taitavasti laadittu sähköpostiviesti, jossa pyydettiin päivittämään pankin asiakastiedot. Sähköposti oli tullut epäilyttävästä sähköpostiosoitteesta, mutta lähes 80 -vuotias asiakas ei ole tällaista seikkaa ymmärtänyt tarkastaa. Asiakkaani syötti pankkitunnuksensa valepankin sivustolle. Näillä tunnuksilla rikolliset latasivat mobiilipankin uudelle laitteelle.  Asiakkaani on varma, että hän ei ole saanut pankilta mobiilipankin käyttöönottamista koskevaa tekstiviestiä eikä ole myöskään syöttänyt mitään erillistä koodia mihinkään, vaan keskeytti käytön.


Kuitenkin rikolliset saivat asiakkaani mobiilipankin hallintaansa ja tyhjensivät tilin kahdeksallakymmenellä (80!) peräkkäisellä siirrolla ja keskellä yötä. Tietääkseni pankin sovellus ei ole kysellyt yhteenkään siirtoon mitään erillistä vahvistusta - ainakaan asiakkaaltani. Pankkisalaisuuteen vedoten pankki ei myöskään ole kertonut, onko jokin hälytin lauennut tällaisen toiminnan seurauksena.


Vaikka edellä jo mainitsen, että ratkaisuissa painoarvo ei ole annettu sille, että pankilla olisi mahdollisuus lisätä turvatekijöitä, niin ainakin tämän tapauksen valossa tämäkin voisi olla perusteltua.  Ainakin vahinko olisi ollut pienempi, mikäli edes jossain vaiheessa pankin järjestelmä olisi hälyttänyt ja keskeyttänyt siirrot. 


Asia on nyt pankkilautakunnassa ratkaistavana ja olen melko luottavainen siihen, että asiakkaani ei asiassa ole toiminut törkeän huolimattomasti.


Yhteenveto


Pankkipalveluiden siirtyminen mobiiliin edellyttää uusien taitojen opettelua. Kyse ei ole pelkästään mobiilisovelluksen käyttämisestä, vaan myös kykyä ymmärtää siitä, mitä riskejä tähän liittyy. Erityisesti iäkkäille asiakkaille tämä ei ole lainkaan yksinkertaista. 


Maksupalvelulaki jakaa vastuuta palveluntarjoajan (pankin) ja asiakkaan välillä väärinkäytöksistä. Asiakkailta edellytetään varovaisuutta ja tarkkaavaisuutta eivätkä pankit mielellään korvaa menetyksiä. Mitään ylitsepääsemättömiä tietoteknisiä taitoja ei kuitenkaan tarvita, mutta normaalin huolellisesti toimivalla kuluttajalla on käytettävissään oikeussuojakeinoja menetettyjen rahojen saamiseksi takaisin ja ei ole mitenkään poikkeuksetonta, että pankin suositellaan (pankkilautakunnan ratkaisu) tai velvoitetaan (tuomioistuimen ratkaisu) korvaamaan asiakkaan menetys.


Lue lisää rikosoikeudellisia kirjoituksiamme:


VT, OTM

Juristi

Lakitoimisto KPF


050 3708 782


© 2024 KPF GROUP OY

  • Facebook Social Icon
  • LinkedIn Social Icon
  • Twitter Social Icon
  • Instagram
bottom of page