Huijari tyhjensi pankkitilin, korvaako pankki? Ratkaisevaa on kuluttajan huolellisuus

Kortti- ja pankkitunnustietoja kalastellaan nyt ahkerasti. Selvitimme, millaisin ehdoin pankilta voi vaatia korvauksia.

Vakuutus- ja rahoitusneuvonta FINEn Pankkilautakunta julkaisi viime viikolla tiedotteen tietojenkalastelu- eli niin sanotuista phishing-tapauksista.

Tiedotteen mukaan Pankkilautakunta on antanut tänä vuonna lähes 20 ratkaisusuositusta tapauksissa, joissa asiakkaat ovat päätyneet pankkien verkkosivuilta näyttäville huijaussivuille ja menettäneet rahojaan rikollisille. Myös Microsoftin teknisen tuen nimissä tehdyistä huijauksista on annettu useita ratkaisuja.

Jaostopäällikkö Tuomas Hidén kertoo Kuluttajalle, että ilmiöön haluttiin kiinnittää nyt huomiota, sillä lautakunnan käsittelyyn päätyneiden tietojenkalastelutapausten määrä on lähtenyt nousuun edellisen ja tämän vuoden aikana.

”Tällä hetkellä noin kolme neljäsosaa käsittelemistämme tapauksista on phishing-juttuja, kun aikaisemmin ne ovat olleet yksittäisiä tapauksia. Kokonaisuutena juttumäärät ovat pysyneet ennallaan.”

FINEn Pankkilautakunta on riippumaton riidanratkaisuelin, joka antaa suosituksia pankin ja asiakkaan välisissä erimielisyyksissä. Pankit noudattavat sen ratkaisusuosituksia yleensä hyvin.

Tietojenkalastelujuttu päätyy lautakunnan pöydälle yleensä siinä vaiheessa, kun pankki on kiistänyt asiakkaan siltä vaatimat korvaukset.

Aidon näköinen verkkopankki hämää kuluttajaa

Valtaosassa tapauksista pankin asiakas on erehtynyt asioimaan aidolta näyttävälle verkkopankkisivustolle. Eroja on Hidénin mukaan siinä, miten sivustolle päädytään.

Hidén tyypittelee phishing-tapauksia seuraavasti:

  • Tyyppitapaus 1: Asiakas saa pankin nimissä aidolta näyttävän sähköpostiviestin, jossa kerrotaan esimerkiksi, että asiakkaan pitäisi käydä verkkopankissa päivittämässä tietojaan. Viestissä oleva linkki vie huijaussivustolle, jota asiakas luulee oikeaksi verkkopankiksi. Kun asiakas kirjautuu sisään, rikolliset saavat haltuunsa hänen pankkitunnustietojaan ja pääsevät asiakkaan tileille.
  • Tyyppitapaus 2: Asiakas saa pankin nimissä aidolta näyttävän sähköposti- tai tekstiviestin, jossa väitetään, että hänen korttinsa on suljettu turvallisuussyistä. Mukana on linkki ”verkkopankkiin”, jonka kautta kortin pääsee aktivoimaan. Todellisuudessa linkki vie huijaussivustolle.
  • Tyyppitapaus 3: Asiakas kirjoittaa verkkopankkinsa nimen Googleen tai muuhun hakukoneeseen, klikkaa hakutulosta ja päätyy aidolta verkkopankilta näyttävälle huijaussivustolle.
  • Tyyppitapaus 4: Neljänteen tyyppitapaukseen ei liity huijaussivustolla asiointia. Siinä asiakas saa huijauspuhelun Microsoftin teknisen tuen nimissä. Soittaja varoittaa asiakasta esimerkiksi hänen tietokoneeseensa kohdistuneesta tietoturvauhasta, ja sen korjaamiseksi asiakas antaa ottaa etäyhteyden koneelleen. Asiakas huijataan luovuttamaan kortti- ja pankkitunnustietojaan tai hyväksymään korttimaksun tai tilisiirron rikollisille.

Pankkitietoja osattava käyttää huolellisesti

Phishing-juttuja on ratkaistu sekä asiakkaan että pankin hyväksi. Ratkaisevaa on Hidénin mukaan se, kuinka huolellisesti asiakas on itse menetellyt ja onko huolimattomuus kortti- tai pankkitunnustietojen säilyttämisessä tai käyttämisessä mahdollistanut tietojen urkinnan.

”Asiakkaan huolimattomuutta on vaikea nähdä sellaisissa tapauksissa, joissa päädytään aidolta näyttävälle huijaussivustolle. Jos pankin nimissä saatu viesti ja verkkopankki näyttävät asiakkaan suuntaan normaaleilta, eikä asiakkaalla ole ollut mitään syytä epäillä huijausta, tapaus ratkaistaan hyvin todennäköisesti asiakkaan hyväksi”, Hidén linjaa.

Asiakkaalla on heikommat edellytykset saada pankilta korvauksia, jos hän on itse hyväksynyt korttimaksun tai tilisiirron rikollisille tai luovuttanut kortti- tai pankkitunnustietojaan esimerkiksi puhelimessa.

”Jos asiakas esimerkiksi saa puhelimensa mobiilisovellukseen vahvistuspyynnön korttimaksun hyväksymiseksi, pyynnössä näkyy summa ja maksun saaja. Jos asiakas on itse vahvistanut maksun, korvausten saaminen on aika toivotonta.”

Pankkilautakunta nojaa ratkaisuissaan maksupalvelulakiin. Lain mukaan maksutapahtuma voidaan katsoa oikeudettomaksi, jos maksaja ei ole antanut siihen suostumustaan ”sovitulla tavalla”. Laissa sanotaan myös, että maksuvälinettä on käytettävä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti.

Korttien ja tunnusten säilytystä ja käyttöä koskevat ehdot määritellään tarkemmin pankkien kortti- ja pankkitunnusehdoissa.

Pankkitunnuksia ei pidä antaa puhelimessa

Miten kuluttaja voi sitten välttyä kortti- ja pankkitunnustietojen urkinnalta?

Hidénin mukaan verkkopankkiin ei pidä koskaan kirjautua tekstiviestissä tai sähköpostissa olevan linkin tai Google-haun kautta.

”Pankin verkkosivujen osoite pitäisi itse kirjoittaa selaimeen. Osoiterivin lukkosymbolia klikkaamalla voi varmistaa, että sivuston yhteys on todennäköisesti turvallinen. Näitä toimia voidaan edellyttää asiakkaalta myös pankin ehdoissa, ja niitä on hyvä noudattaa.”

Pankkilautakunnan ratkaisuissa on kuitenkin katsottu, ettei näiden velvollisuuksien laiminlyönti osoita lievää suurempaa huolimattomuutta.

Hidénin mukaan on suositeltavaa ottaa käyttöön oman pankin mobiilisovellus.

”Jo tällä toimenpiteellä voi välttyä joutumasta tietyntyyppisten urkintatapausten kohteeksi. Myös mobiilisovellusta käytettäessä täytyy muistaa, että on asiakkaan vastuulla tarkistaa, mitä tapahtumia hän itse sovelluksellaan vahvistaa.”

Hidén muistuttaa myös, että pankki tai mikään muukaan organisaatio ei koskaan pyydä pankkitunnuksia puhelimitse, sähköpostitse tai tekstiviestillä.

”Tunnukset ovat henkilökohtaiset eikä niitä saa antaa kenellekään, ei edes läheisille”, Hidén opastaa.

Kommentit (4)

On tultu tilanteeseen, joka tiedettiin ja siitä varoitettiin etukäteen. Niin kutsutun edistyksen ja kehityksen nimissä ihmiset (lue asiakkaat) pakotettiin hankkimaan ja itse vastaamaan asioista jotka kuuluvat pankkien vastuulle. Yksilö-, tieto ja pankkisuojan tulee olla ehdoton! Pankkien vastuu suhteessa asiakkaisiin on luottamusta, jonka tiimoilta ei saa tinkiä ”pìiruakaan”!

Miehelleni alkoi tulla kolmenkympin Visalyhennysperintää kuukausittain. Hän maksoi aluksi, koska kuvitteli sitä itse aiheutetuksi tai kortin vuosimaksuksi, mutta kun maksuperintä vain toistui kuukausi kerrallaan, hän meni pankkiin selvittämään sitä. Pankin mukaan 3 ostotapahtumaa olivat tapahtuneet Kyproksella. Miestäni kehoitettiin menemään poliisilaitokselle tekemään rikosilmoitusta. Näin taphtuikin. Mies ei ole sillä ilman suunnalla matkustanut lainkaan. Sen sijaan hän oli käynyt Virossa. Hän oli virolaisen tuttavamme avustuksella nostanut pankkiaautomatista rahaa. Korttia hän ei muistanut käyttäneensä muualla. Miehelläni on aivovamma 79 v., mutta hän yrittää hoitaa raha-asiansa itse. Ymmärsin, että hän toimitti rikosilmoituskopion pankilleen. Siitä huomilla häneltä perittiin koko tuo huijattu summa. Hän ei osaa tehdä verkko-ostoksia. Kerran hän huuteli minulta kengännumeroaan, kun facebookissa oli viesti, että on voittanut eurolla lenkkarit ja johon ilmeisesti seuraaavaksi olisi tarvittu pankkikortin numeroa myös. Hän ilmoittaa kyllä silloin tällöin, että maksaa Visalla ostoksiaan kaupassa, viimeeksi Tikkurilan aseman kioskilla junalippua ostaessa korttimaksulaitteessa oli oletuksena Visa ja huononäköisenä maksu jäi sille. puolelle. Itselleni on myös joskus korttimaksujen alkuaikoina käynyt.

Jos ostamattomia laskuja veloitetaan tililtä pitää pankkikortti heti kuolettaa siis laittaa sulkuun. Lisäksi tehddään rikosilmoitus.

”pankki tai mikään muukaan organisaatio ei koskaan pyydä pankkitunnuksia puhelimitse”

Näinhän sen pitäisi olla, mutta ongelmallista on se kun pankista soitetaan asiakkaalle ja vaaditaan tunnistautumista. Asiakkaan on mahdotonta tietää että soitto todella tulee pankista ellei satu tuntemaan virkailijaa. Ainakin OP:ssa harrastetaan tällaista, mutta en muista nyt varmuudella onko tällaisia puheluja ohjattu tunnistautumispalveluun jossa verkkopankkitunnukset pitää naputella puhelimessa, vai onko kyseeessä ollut ainoastaan suullinen tunnistustietojen kysely (jonka myös koen ongelmalliseksi)

Vastaa

Sähköpostiosoitettasi ei julkaista.