Kuka vastaa, jos verkkopankkitunnuksesi varastetaan ja niillä nostetaan pikavippejä? Vastaus riippuu rikoksen tekotavasta ja uhrin huolimattomuudesta

Varas voi nostaa pankkitunnuksilla kymmenien tuhansien eurojen pikavipit. Vahingot voivat jäädä kokonaan uhrin kontolle.

Nettipankkitunnukset
Mies selaa verkkopankkia avainlukulista kädessään.
Kun verkkopankkitunnukset joutuvat vääriin käsiin, uhrin vastuu voi rajautua 50 euroon tai sitten hän voi joutua vastaamaan varastetusta summasta kokonaan. Kaikki riippuu rikoksen tekotavasta ja uhrin huolimattomuuden tasosta.Toni Pitkänen / Yle

Vääriin käsiin joutuneet verkkopankkitunnukset voivat kirpaista uhrin lompakkoa tuntuvasti.

Jalkapallo-ottelun jälkeen oluelle lähtenyt Pekka(nimi muutettu)toi kotiinsa kaksi tuntematonta naista, joista toinen pyysi häntä siirtämään rahaa ja puheaikaa tililleen.

Pekan mukaan toinen naisista näki hänen näppäilevän verkkopankkitunnukset tai ehkä valokuvasi tunnuksen, kun Pekka poistui huoneesta toisen naisen kanssa.

Pari päivää myöhemmin Pekka huomasi automaatilla käteistä nostaessaan, että tililtä puuttui katetta. Asiaa selvitettäessä kävi ilmi, että hänen tililleen oli nostettu pankin käyttölaina ja korttiluotto.

Pekan tilin kautta oli kulkenut myös seitsemän tuhannen euron edestä pikavippejä, jotka oli siirretty tililtä pois. Tilisiirtoja oli tehty yhteensä yli 12 000 euron arvosta.

Kuluttajien ja yritysten välisissä riita-asioissa ratkaisuehdotuksia antava kuluttajariitalautakunta käsitteli Pekan tapausta hiljattain. Tarina on lyhennetty lautakunnan pöytäkirjasta.

Pekka teki asiasta rikosilmoituksen ja vaati pankkiaan ja vakuutusyhtiötään korvaamaan osan menetetyistä rahoista.

Pankki tai vakuutusyhtiö ei suostunut Pekan vaatimuksiin. Kuluttajariitalautakuntakaan ei suosittanut hyvitystä, koska uhri oli menetellyt törkeän huolimattomasti.

Sen lisäksi, että Pekka menetti tilillään olevat rahat, hän joutui vastaamaan myös täysin uusista lainoista.

Miten tämä on mahdollista?

Samat pankkitunnukset, eri korvausvastuu

Tapa, jolla rikolliset tekevät maksuvälinepetoksen voi saattaa uhrin hyvin erilaisiin korvausvastuisiin. Uhrin vastuu voi rajautua 50 euroon tai hän voi joutua vastaamaan suuristakin summista kokonaan itse.

Verkkopankkitunnuksia käytetään nykyisin paitsi verkkopankissa maksamiseen, myös muissa eri verkkopalveluissa tunnistautumiseen.

Kuluttajalle kirjautumisikkuna näyttää samalta huolimatta siitä, näppäileekö hän verkkopankkitunnuksensa verkkokaupassa, täyttäessään veroilmoitusta verkossa tai hakiessaan pikavippiä.

Lain silmissä kyse on kuitenkin erilaisista tilanteista. Verkon maksamispalveluita koskee maksupalvelulaki, kun taas muuta verkkopankkitunnusten avulla tunnistautumista – esimerkiksi pikavippipalveluihin kirjauduttaessa – koskee tunnistuslaki.

Eron huomaa vasta siinä vaiheessa, kun pankkitunnukset joutuvat vääriin käsiin. Väärinkäyttötilanteissa maksupalvelulaki tarjoaa kuluttajalle tunnistuslakia paremman suojan.

Pauli Ståhlberg on Kuluttajariitalautakunnan puheenjohtaja.
Kuluttajariitalautakunnan puheenjohtaja Pauli Ståhlbergin mielestä maksupalvelu- ja tunnistamislakien vastuut pitäisi yhtenäistää.Toni Määttä / Yle

Kuluttajariitalautakunnan puheenjohtaja Pauli Ståhlbergin mielestä tilanne on kohtuuton.

– Tällä hetkellä pankkisidonnaisten palveluiden vastuu on selvästi lievempi kuin muissa palveluissa. Maksupalvelulaissa kuluttajalta edellytetään enemmän huolimattomuutta kuin tunnistuslaissa, jotta hänelle syntyy täysi vastuu vahingoista, Ståhlberg sanoo.

Maksupalvelulaki rajaa kuluttajan vastuun 50 euroon, mikäli tämän verkkopankkitunnukset varastetaan, tili tyhjennetään ja uhrin katsotaan olleen tunnustensa kanssa korkeintaan huolimaton. Tämä vastuurajoitus koskee tilanteita, joissa maksuvälinepetos tapahtuu uhrin pankkitiliä tai pankin muita palveluita hyväksikäyttäen.

Vain kuluttajan törkeä huolimattomuus vapauttaa pankit korvausvastuusta. Mitään vastuuta ei synny, jos uhri ei ole ollut millään lailla huolimaton.

Pekan tapauksessa kuluttajariitalautakunta katsoi törkeäksi huolimattomuudeksi sen, että hän oli päästänyt tuntemattomia ihmisiä asuntoonsa.

Pekka oli myös käsitellyt pankkitunnuksiaan ja pin-koodiaan siten, että sivullinen ihminen sai ne tietoonsa. Pekka myönsi humalatilansa, mutta arvioi sen olleen korkeintaan 0,9 promillea.

Verkkopankin tunnuslukukortti näppäimistön päällä.
Osa pankeista on luopumassa avainlukulistoista, koska ne eivät heidän mielestään täytä syyskuussa voimaan tulevan EU-direktiivin asiakkaan vahvan tunnistamisen vaatimusta.Yle

Uhri vastaa vielä uusistakin lainoista

Pankkitunnuksia voidaan väärinkäyttää myös tilanteissa, joissa pankki ei ole osallisena. Verkkopankkitunnuksia kun käytetään myös tunnistautumiseen – siis todentamaan, että käyttäjä on todella se henkilö, joka tämä väittää olevansa.

Verkkopankkitunnusten anastaja voi tunnistautua pikavippipalveluihin, ottaa uhrin nimissä luottoja ja siirtää ne suoraan omalle tililleen. Tällöin pankki ei ole riidan osapuoli ja vastuisiin sovelletaan tunnistuslakia, ei maksupalvelulakia.

Tällöin uhri vastaa pikavippiyhtiölle luoton täydestä määrästä, eikä vastuulle ole ylärajaa. Tunnistuslaissa uhrin vastuuseen riittää tavallinen huolimattomuus.

Pauli Ståhlberg ja kaksi muuta kuluttajariitalautakunnan jäsentä jättivät eriävän mielipiteen Pekan päätökseen.

Heidän mielestään Pekan nimissä otettujen 7 000 euron pikavippien osalta vahinko oli ollut uhrille ennalta arvaamaton, eikä Pekan pitäisi vastata summasta täysimääräisesti.

Puheenjohtaja Ståhlberg perustelee näkemystään teon yllättävyydellä.

– Pikavippien perustaminen verkkopankkitunnuksilla on suhteellisen uusi ilmiö. Keskustelimme paljon siitä, onko kuluttajalla aihetta varautua tällaisiin vahinkoihin, kun hänen tunnuksensa häviävät, Ståhlberg sanoo.

Pauli Ståhlbergin mielestä tilanne, jossa eri lait tuottavat erilaisen vastuun, on kuluttajan kannalta sekava. Se voi aiheuttaa kohtuuttoman lopputuloksen.

Sen lisäksi, että uhri menettää tilillään olevat rahat ja luottosaldon, hän voi joutua vastaamaan hänen nimissään otetuista uusista lainoista.

Pauli Ståhlberg on Kuluttajariitalautakunnan puheenjohtaja.
Kuluttajariitalautakunnan puheenjohtaja Pauli Ståhlbergin mielestä tilanne on kuluttajan kannalta sekava ja kohtuuton. Rikoksen tekotapa voi aiheuttaa uhrille erilaisen korvausvastuun.Toni Määttä / Yle

Tuoko vahvan tunnistautumisen vaatimus muutoksia?

Syyskuussa tulee voimaan EU:n toinen maksupalveludirektiivi (siirryt toiseen palveluun), joka tuo muutoksia esimerkiksi pankkipalveluihin kirjautumiseen. Direktiivi ei kuitenkaan vaikuta tunnistautumispalveluihin, kertoo Finanssivalvonnan lakimies Sanna Atrila.

Esimerkiksi Danske Bank on ilmoittanut luopuvansa direktiivin myötä paperista avainlukulistoista, sillä pankin tulkinnan mukaan avainlukulista ei täytä direktiivin vahvan tunnistautumisen vaatimusta.

Avainlukulistaa järeämpi tunnistautumisjärjestelmä olisi ehkä voinut estää rikoksen, jonka uhriksi Pekka joutui.

Pauli Ståhlberg huomauttaa, että kaikkia väärinkäytöksiä ei pysty mitenkään estämään. Teknologian kehittyessä rikolliset keksivät aina uusia keinoja väärinkäytöksiin, oli kyse sitten verkkopankkitunnuksista, matkapuhelinsovelluksista tai biotunnisteista.

Tämän myöntää myös Finanssivalvonnan lakimies Atrila.

– Tietenkään mikään uusikaan asiakkaan vahvan tunnistamisen menetelmä ei ole täysin turvallinen. Vaadimme niille erilaisia tietoturvavaatimuksia ja auditointeja. Pyrimme myös varmistamaan, että biometriikan [tunnistautumistapa, jossa käytetään henkilön biologisia tietoja] käyttö olisi turvallista, Atrila sanoo.

Pankkisidonnaisia maksamispalveluja valvoo Finanssivalvonta ja tunnistautumispalveluja Traficom.

Sanna Atrila.
Lakimies Sanna Atrila Finanssivalvonnasta kertoo, ettei maksupalvelu- ja tunnistamislakien erilaisia kuluttajavastuita olla yhtenäistämässä lähitulevaisuudessa.Toni Määttä / Yle

Korvausvastuiden pitäisi olla samanlaiset

Pauli Ståhlberg korostaa, että parhaiten kuluttaja suojautuu väärinkäytöksiltä säilyttämällä tunnistautumisvälineitä – eli matkapuhelimessa olevia sovelluksia, verkkopankkitunnuksia tai avainlukulistoja – huolellisesti turvallisessa paikassa, johon ulkopuoliset eivät pääse käsiksi.

Lainsäätäjiltä Ståhlberg toivoo maksupalvelulain ja tunnistuslain vastuiden yhtenäistämistä: rikoksen uhria tulisi kohdella lain silmissä samalla tavalla riippumatta siitä, mitä varastetuilla tunnuksilla tehdään.

Sanna Atrilan mukaan tällaista hanketta ei ole juuri nyt vireillä.

Maksupalveludirektiivin voimaantulo kyllä vahvisti kuluttajansuojaa esimerkiksi laskemalla maksupalvelurikoksen uhriksi joutuneen omavastuun 150 eurosta 50 euroon, mutta tunnistamislain piirissä oleviin tapauksiin direktiivi ei vaikuta.

Atrila kertoo, että sekä maksamiseen liittyvä tunnistaminen että sähköinen tunnistautuminen perustuvat EU-direktiiveihin. Vastuusääntelyn yhtenäistäminen kansallisesti vaatisi isomman selvitystyön.

Seitsemän tonnin pikavippinostojen uhriksi joutunut Pekka vaati korvauksia myös vakuutusyhtiöltään. Jos maksupalvelulaissa ja tunnistuslaissa olisi samanlainen kuluttajan vastuu, kuka vastaisi kuluista?

Ståhlbergin mukaan vastuukysymykset ovat hankalia. Uhrin vahingoista voisi vastata tässä tapauksessa ainakin osittain palveluntarjoaja eli esimerkiksi pikaluottoyhtiö.

Lue lisää:

Kieltääkö EU avainlukulistat? Yle kysyi seitsemästä pankista mitä syyskuussa oikein tapahtuu – kukaan ei tiedä sitä varmasti

Epäilty otti pikavippejä yli 40 000 eurolla tuntemattomien nimiin: Syytetään 21 identiteettivarkaudesta

Harvinainen petostehtailu: Mies ja nainen löysivät aukon pikavippifirman ohjelmistosta – ottivat yli 85 000 euron lainat muiden nimiin Tampereella