Pankkihuijauksissa pankeilla on tiedollinen ylivoima. Ne vetoavat pankkisalaisuuteen eivätkä kerro tarkemmin, miten huijaus tehtiin. Se on tavallaan ymmärrettävää, koska silloin wanna-be huijarit eivät saa turhaan opetusta. Toisaalta tapausten avaaminen auttaisi muita suojautumaan ja osoittaisi, ovatko pankkien omat ohjeet ja suojaustoimet riittäviä.
Pahinta on, etteivät uhrit itsekään saa kaikkia tietoja. Moni jää ihmettelemään, miten kummassa eläkesäästöni vietiin, vaikka en antanut tunnustani mihinkään. Kafkamainen tilanne! Moni uhri uskoo, että puhelimessa (tai jopa pankin järjestelmässä) on täytynyt olla haittaohjelma.
Pankit vaikenevat, mutta Vakuutus- ja rahoitusneuvonta FINE avaa päätöksissään tapahtumien taustoja. Tässä esimerkiksi päätös tapauksesta FINE-72843-D4F5P4. Päätös on elokuulta, pankkiryöstö kahden vuoden takaa. Tapahtumainkuvaus vaikuttaa hyvin samanlaiselta mitä eräs minuun yhteyttä ottanut uhri koki tänä keväänä.
Ratkaisu on pitkä, joten yritän tiivistää siitä avainkohdat. Tekstissä ei mainita pankin nimeä, joten käytän itsekin vain termiä "Pankki".
Uhri oli saanut pankilta tekstiviestin, jonka mukaan verkkopankki ja pankkikortti on jäädytetty epätavallisen toiminnan vuoksi. Viestissä oli linkki pankkia muistuttavaan com-loppuiseen osoitteeseen, jonka luvattiin palauttavan käyttöoikeuden.
Uhri meni halpaan ja syötti valesivulle pankkitunnuksensa. Sen jälkeen alkoi tapahtua.
Pankki lähetti englanninkielisen (!) tekstiviestin "Read carefully!..." jossa kerrottiin pankkitunnusohjelman asentamisesta uuteen puhelimeen ja annettiin koodi 03705, joka piti syöttää pankin mobiilisovellukseen.
Saatuaan uhrin tilin näin haltuunsa rosvot siirsivät kolmella Visa-kortin pankkisiirrolla 36 500 euroa, luottokortilta 1258 euroa Revolut-pankkiin ja ottivat vielä 15 000 euron täsmäluoton. Kaikki menivät läpi pankin järjestelmistä, vaikka tunnistusvälineen aktivointi juuri siirtoja ennen uudessa laitteessa oli selkeä hälytysmerkki.
Ensimmäinen tekstiviesti oli tullut maanantaina 24.7.2023 klo 11.03 irlantilaisesta numerosta. Yli 70-vuotias uhri lähti välittömästi selvittämään asiaa pankin konttoriin, mutta havaitsi konttorin olevan suljettu.
Samaan aikaan rosvot hakivat uhrin operaattorilta eSIM-kortin ja siirsivät uhrin puhelinnumeron itselleen, jolloin uhrin pankin turvallisuusnumeroon tekemä soitto katkesi kesken puhelun. Uhri soitti uudelleen vaimonsa puhelimella ja sai pankkitunnukset kuoletettua. Vahinko oli kuitenkin jo tapahtunut. Kokonaisuutena tapahtumiin ensimmäisestä huijausviestistä tilin sulkemiseen kului 2 tuntia 10 minuuttia. Tästä varsinaiset siirrot ja sulku toteutuivat 37 minuutin sisällä.
FINE-lautakunnan neljän jäsenen yksimielinen kanta on, että uhri oli toiminut törkeän huolimattomasti eikä se suosita korvauksia. Koko tappio jää uhrin itsensä maksettavaksi, ellei hän lähde käräjöimään asiasta oikeuteen ja onnistu vakuuttamaan tuomaria.
Tämä herättää lukuisia kysymyksiä, joiden reiluutta jokainen voi mielessään arvioida. Avainkohtia nähdäkseni ovat seuraavat:
- Uhri ei tiedä, miten rosvot pääsivät hänen tililleen. Uhrin mielestä mobiilipankkiohjelmassa oli tuolloin mahdollisuus liittää pankkikortti Google Pay-järjestelmään ilman pankkikortin tietoja, eikä liittäminen vaatinut erillistä vahvistamista.
- Uhrin mielestä Android-selaimessa on ollut päällä automaattinen tekstiviestin vahvistuskoodi, joka on syöttänyt pankin lähettämän turvakoodin automaattisesti. Uhri ei ollut tietoinen tästä automatiikasta (olisitko itse ollut?) eikä huomannut sitä. Pankit eivät ole varoittaneet tästä ominaisuudesta (ei tullut itsellekään mieleen, vaikka olen seurannut useita tapauksia).
- Tekstiviesti on tullut englanniksi, eikä uhri ole täysin ymmärtänyt sen sisältöä. Rosvot olivat vaihtaneet nettipankin kielen englanniksi hämätäkseen uhria.
- Kuin kirsikkana kakun päällä pankki on vielä klo 16 lähettänyt uhrille tekstiviestillä linkin palautekyselyyn (ilmeisesti luokkaa "kuinka hyvin palvelumme tänään onnistui?").
- FINEn ratkaisukäytännön perusteella tunnusten ja avainlukulistan koodin syöttäminen valesivulle ei vielä ollut törkeän huolimatonta, mutta uhrin reagointi mobiilisovelluksen asentamiseen liittyvään englanninkieliseen viestiin oli.
- Pankin mielestä korttitietoja ei voi saada pankin nettipalvelusta, vaan uhrin on täytynyt kirjoittaa tiedot ja antaa aktivointikoodi. Uhri itse kiistää tämän.
- Pankki pahoittelee asian selvittämiseen liittyvää viestinnän epäselvyyttä reklamaatioprosessin aikana; viestintä uhrin suuntaan on kärsinyt koska tietopyyntöjä on selvitetty usean eri tahon toimesta eikä tieto ole aina kulkenut luotettavalla tavalla. Pankki tulkitsi aikajanaa aluksi väärin ja korvasi 96 euron tilisiirron vasta yli vuosi tapahtumien jälkeen.
Jos ilmoitus olisi ollut suomeksi, uhri olisi varmaankin reagoinut siihen paremmin. Tältä osin ratkaisu toteaa seuraavaa: "lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä... Pankkilautakunta on ratkaisukäytännössään (kuten FINE-057082, annettu 6.6.2024) katsonut, että mikäli asiakas ei kielimuurin vuoksi ymmärrä tai voi olla varma, mihin esimerkiksi pankin tekstiviestitse toimittama koodi on tarkoitettu, tulisi hänen huolellisesti toimiessaan keskeyttää asiointinsa ja olla esimerkiksi yhteydessä pankkiinsa varmistuakseen menettelyn tarkoituksesta ja asianmukaisuudesta. Pankkilautakunta katsoo tässäkin tapauksessa, että asiakkaan olisi vetoamastaan kielimuurista huolimatta ja myös kielimuurista johtuen tullut ymmärtää keskeyttää asiointinsa, koska hän ei ole voinut varmistua pankilta tekstiviestitse saamansa koodin käyttötarkoituksesta."
Toisin sanoen pankkien velvollisuus on viestiä ymmärrettävästi suomeksi, mutta jos viestit tulevat vieraalla kielellä, vastuu siirtyy uhrille. Tämä on aika tiukka linjaus.
Miksi ihmeessä pankit sallivat asiointikielen vaihdon, jolla huijataan uhreja? Kuinka moni asiakas haluaa kesken pankkiasioinnin vaihtaa palvelun kielen suomesta englanniksi?
Pankki tai lautakunta eivät pysty kertomaan tarkasti, minkä virheen uhri on tehnyt, mutta päättelevät hänen toimineen väärin, koska muutakaan selitystä ei ole. Säästönsä menettäneen uhrin kannalta tämä on tylyä.
 |
| OP-pankin selkeä ilmoitus uuden puhelimen aktivoinnista (ei liity tähän tapaukseen). |
Ei ole oikein, että pankkitunnuksilla voi sulkea tai siirtää uhrin puhelinliittymän, jolloin kaikki uudet vahvistuskoodit tulevat rosvon puhelimeen. Yksikin virhe voi siis johtaa koko tilin hallinnan menettämiseen, eikä siirto- tai maksurajoituksilla ole mitään merkitystä, koska ne voi poistaa. Yllä olevan kuvan varoitus on siis äärimmäisen tärkeä lukea ja ymmärtää!
 |
| Tämä asetus kannattaa tarkistaa Android-puhelimissa. |
Onko automaattinen tekstiviestikoodin syöttö vielä käytössä sivustoilla? Ilmeisesti kyse on tästä ominaisuudesta, joka voi olla vaarallinen. Kannattaa tarkistaa Asetukset > Google > Kaikki palvelut > Vahvistuskoodit tekstiviestillä.
Kun lautakunta kerran avaa tapahtumat näinkin selvästi, mikseivät pankit itse voi tehdä samaa? Tässä on paljon opittavaa kaikille.