Finen pankkilautakunta suosittaa pankkia hyvittämään 58 391,80 euroa tapauksessa, jossa rikolliset siirsivät asiakkaan tileiltä ja tämän hallinnoimalta yhdistyksen tililtä yli 66 000 euroa.
Lautakunta katsoi asiakkaan toimineen törkeän huolimattomasti, mutta pankin vastuuta lisäsi se, että verkkopankin sisäisiä siirtoja voitiin tehdä ilman vahvaa tunnistamista.
Huijaus alkoi elokuussa 2024 pankin nimissä lähetetyllä tekstiviestillä. Viestin linkki johti pankin sivuilta näyttäneelle huijaussivulle, jossa väitettiin asiakkaan tilillä havaitun epäilyttäviä maksuyrityksiä. Sivulla kerrottiin myös, että pankin petososasto ottaisi pian yhteyttä.
Asiakkaalle soitti myöhemmin pankin työntekijänä esiintynyt rikollinen, joka pyysi avainlukulistan koodeja väitettyjen siirtojen estämiseksi. Asiakas kieltäytyi aluksi, mutta suostui myöhemmin, kun pankin nimissä tullut tekstiviesti vaikutti aidolta.
Puhelu keskeytyi välillä, mutta jatkui myöhemmin yli tunnin mittaisena. Sen aikana asiakas seurasi tapahtumia mobiilipankissa ja uskoi soittajan peruuttavan rikollisten tekemiä siirtoja. Todellisuudessa rikolliset käyttivät saatuja avainlukuja käyttörajojen muuttamiseen ja rahojen siirtämiseen.
Rikolliset kirjautuivat asiakkaan verkkopankkiin kello 16.14 käyttäjätunnuksella, salasanalla ja avainlukulistalla. Kirjautumisessa ei pankin mukaan käytetty vahvaa sähköistä tunnistamista.
Asiakkaan omilta tileiltä ja korttiluotoilta siirrettiin 58 391,80 euroa asiakkaan hallinnoimalle yhdistyksen tilille. Yhdistyksen tililtä tehtiin sen jälkeen 66 325,62 euron siirrot ulkopuolisille ulkomaisille tileille.
Asiakas sai takaisin vain 510,85 euroa. Lopulliseksi vahingoksi jäi 65 814,77 euroa.
Pankki katsoi, että asiakas oli antanut maksuille suostumuksensa kertomalla avainluvut ja vahvistamalla siirrot. Pankkilautakunta ei hyväksynyt tätä tulkintaa.
Lautakunnan mukaan asiakas ei itse vahvistanut maksuja verkkopankissa, vaan rikolliset loivat ja hyväksyivät maksutoimeksiannot hänen puolestaan. Siksi kyse oli oikeudettomista maksuista.
Samalla lautakunta arvioi asiakkaan toimineen törkeän huolimattomasti. Asiakas kirjautui pankin nimissä tulleen tekstiviestin linkistä avautuneelle sivulle ja kertoi useita avainlukuja puhelimessa, vaikka tiesi, ettei tunnuksia saa antaa puhelimitse.
Ratkaisun kannalta olennaiseksi nousi kuitenkin se, että pankki oli sallinut asiakkaan omien tilien ja yhdistyksen tilin väliset siirrot ilman vahvaa tunnistamista. Lautakunnan mukaan juuri nämä sisäiset siirrot mahdollistivat sen, että varoja voitiin siirtää edelleen ulkomaille.
Siksi pankkilautakunta suosittaa pankkia hyvittämään 58 391,80 euroa niille tileille, joilta oikeudettomat siirrot tehtiin. Ratkaisu oli yksimielinen.
Tapauksesta kertoi myös Iltalehti.