Vuosi sitten honkajokelainen Ritva Sivula oli lähikaupan kassalla, kun hänen pankkikorttinsa ei yllättäen toiminutkaan. Tilillä piti olla rahaa, joten Sivula veikkasi syyksi teknistä vikaa.
Hän kuitenkin päätti mennä tarkastamaaan tilinsä saldon. Siellä Sivulaa odotti surkea näky. Joku oli siirtänyt Ritvan ja hänen aviomiehensä Jarmo Sivulan tileiltä 44 900 euroa espanjalaiselle pankkitilille.
– Sitä ei voi sanoin edes kuvata, että miltä se tuntui, Ritva Sivula sanoo.
Rahat olivat menneet Omakanta-huijauksessa. Jarmo Sivula oli halunnut katsoa terveystietojaan, mutta olikin päätynyt kirjautumaan pankkitunnuksillaan valesivustolle.
Tapahtunut oli järkytys. Sivuloita kuitenkin lohdutti ajatus siitä, että ehkä rahat saataisiin kuitenkin takaisin. Ellei rikollista saataisi kiinni, täytyihän ainakin pankin korvata vahingot.
– Ajattelin että eihän se raha näin voi lähteä, Jarmo Sivula sanoo.
Hän oli kuitenkin väärässä.
Pankki vetoaa huolimattomuuteen joskus ilman aihetta
Sivuloiden yllätykseksi Honkajoen Osuuspankki ilmoitti, ettei se aio korvata verkkohuijauksessa menetettyjä rahoja. Pankin mukaan asiakas oli ollut törkeän huolimaton antaessaan tietonsa huijarille.
Tämänkaltaiset riidat ovat nykyään yhä yleisempiä. Esimerkiksi Vakuutus- ja vakuutusneuvonta FINEen on tullut tänä vuonna ratkaistavaksi moninkertaisesti enemmän riita-asioita verkkotunnusten oikeudettomasta käytöstä kuin aiempina vuosina.
FINEn pankkilautakunta antaa maksuttomia ratkaisusuosituksia pankkiriidoissa. Se toimii siis vaihtoehtona käräjäoikeudelle.
Maksupalvelulain mukaan vastuu kuuluu käyttäjälle, jos hän on toiminut ”tahallisesti tai törkeän huolimattomasti”.
FINEn ratkaisujen perusteella pankit vetoavat asiakkaan törkeään huolimattomuuteen silloinkin, kun sille ei ole aihetta. Lautakunta on ratkaissut asiakkaan hyväksi viime vuosina ainakin 19 tällaista tapausta.
Näin huijaus oli tapahtunut
Sivulat olivat langenneet tyypilliseen nykypäivän verkkopankkihuijaukseen.
Jarmo Sivula oli kirjoittanut Bing-hakukoneeseen ”Omakanta” päästäkseen näkemään verikokeidensa tulokset. Hän erehtyi kuitenkin klikkaamaan valesivustoa, jolle huijarit olivat ostaneet mainospaikan hakutulosten alusta.
Valesivusto oli niin aidon näköinen, että poliisin rikostutkijatkin kuvasivat sitä myöhemmin uskottavaksi.
Omakannan oikea osoite on kanta.fi. Huijarisivuston osoitteessa oli sama alku, mutta lisäksi siinä luki perässä tunnistautuminen.com. Verkkotunnus oli rekisteröity Espanjaan aiemmin samana päivänä.
Jarmo Sivula antoi pankkitunnuksensa valesivustolle kello 14.53 syyskuun toisena päivänä 2021. Ajoitus tuntuu kohtalon ivalta: tasan tuntia myöhemmin poliisi ensimmäisen kerran varoitti ihmisiä Omakantaan kohdistuvista huijauksista.
Mobiilisovellus on rikolliselle kuin yleisavain
Huijari käytti Jarmo Sivulan tunnuksia asentaakseen tämän nimissä pankin mobiilisovelluksen. Sellainen on rikolliselle kuin yleisavain: sovelluksen avulla hän voi tehdä useita tilisiirtoja ja vahvistaa ne itse.
Sovellusta ei pysty kuitenkaan asentamaan pelkkien varastettujen käyttäjätunnusten turvin. Asennus vaatii lisäksi pankin asiakkaalle lähettämän vahvistuskoodin.
Myös Jarmo Sivula sai vale-Kantaan kirjauduttuaan puhelimeensa pankin tekstiviestin. Siinä luki, että asiakas on aktivoimassa pankin mobiilisovellusta: ”Jos et ole tekemässä aktivointia itse, ota välittömästi yhteyttä [pankkiin] tai sulkupalveluumme. Tietosi voivat olla vaarassa.”
Sivula myöntää, ettei hän lukenut viestiä kunnolla. Hänen silmänsä osuivat lähinnä viestin lopussa olleeseen aktivointikoodiin, jonka hän syötti valesivustolle. Hän luuli vahvistavansa vain kirjautumisen Omakantaan.
Se oli kallis virhe.
Vahvistusviestin sanamuoto ratkaisi jutun
Pankkilautakunnan mukaan Jarmo Sivula oli toiminut tilanteessa törkeän huolimattomasti. Tärkeään asemaan nousi nimenomaan pankilta tullut vahvistusviesti.
Lautakunta on ratkaissut asiakkaan hyväksi useita vastaavia tapauksia, joissa käytännössä ainoa ero on ollut pankin vahvistusviestin sisältö.
Osa pankeista on lähettänyt asiakkailleen niin niukkasanaisia vahvistusviestejä, ettei asiakas ole ymmärtänyt epäillä huijausta. Honkajoen Osuuspankin viesti oli lautakunnan mukaan riittävän selkeä ja vastuu jäi siksi uhrille. Hetken huolimattomuus maksoi käytännössä kymmeniä tuhansia euroja.
Perheellä on yhä mahdollisuus viedä asia käräjäoikeuteen, mutta siellä heitä odottaisi mahdollisesti hidas ja kallis riita, jossa menestymisestä ei ole takeita. Yleensä pankit noudattavat FINEn suosituksia lähes sataprosenttisesti.
Poliisi ihmetteli turvatoimien puutetta
Jarmo Sivulan mielestä pankki olisi voinut tehdä enemmän huijauksen estämiseksi. Hänestä tuntuu väärältä, että lähes 45 000 euron tilisiirtoja epätavalliseen kohteeseen ei estetty.
Siirrot tehtiin verkkopankkitunnuksilla, joita oli siihen asti käytetty pelkästään tunnistautumiseen.
– En maksa niillä mitään enkä varsinkaan ulkomaille. Pankin olisi pitänyt sulkea se tili, Sivula sanoo.
Samaan kiinnitti huomiota rikosilmoituksen vastaanottanut vanhempi rikoskonstaapeli, joka kirjoitti Sivulan puolesta lausunnon pankkilautakuntaan.
– Miten on ollut mahdollista, että näin poikkeuksellisen suuria summia siirrettäessä ulkomailla oleville tileille, POP-pankin tietoturva ei ollut reagoinut millään tavalla, poliisin lausunnossa kysytään.
Pankin näkökulmasta siirroissa ei kuitenkaan ollut mitään epäilyttävää. Tätä pankki perusteli sillä, että Sivula oli ”luovuttanut maksusovelluksen ulkopuoliselle”, kun oli antanut huijarin asentaa mobiilisovelluksen omilla tunnuksillaan.
Pankkien automatiikka seuloo maksuliikenteestä epäilyttäviä siirtoja. Se olisi voinut jäädyttää siirrot tai lähettää niistä asiakkaalle ylimääräisen vahvistuspyynnön. Laki ei kuitenkaan sellaista edellytä.
Osa rahoista saatiin takaisin
Kun tilin tyhjeneminen selvisi Sivuloille syksyllä 2021, huijarilla oli kahden päivän etumatka. Rikos oli tapahtunut torstaina ja huomattu lauantaina.
Aika ei ollut Sivuloiden puolella. Pankista kerrottiin, ettei viikonloppuna voitu tehdä muuta kuin sulkea tilit; hätäkeskuksen päivystäjä ohjeisti menemään maanantaina poliisin luo.
Viivyttely tuntui uhreista pahalta. Ylen haastattelemien asiantuntijoiden mukaan pankki ei kuitenkaan toiminut väärin: vaikka Suomessa pankki olisi ryhtynyt toimiin heti, huijarin pankki Espanjassa tuskin ei.
Maanantaina pankki lähetti SWIFT-palautuspyynnön Espanjaan. Pankki peri siitä uhreilta 120 euron ja myöhemmin vielä 50 euron palvelumaksun.
Sivuloiden onneksi rikolliset eivät olleet ehtineet siirtää kaikkia varoja eteenpäin. Huijatusta 44 900 eurosta saatiin takaisin Suomeen noin 19 000 euroa. Loppuja rahoja perhe tuskin enää näkee.
– Tämä on joka päivä mielessä, Ritva Sivula sanoo.
– Olen jotenkin luottanut siihen, että jos töpeksin jollakin lailla, pankki pitää huolen.
Verkkopankkihuijauksista keskustellaan Ylen A-studiossa TV1:llä 11.10. kello 21. Vieraana ovat tietoturva-asiantuntija Petteri Järvinen ja Finanssialan johtaja Niko Saxholm.
Juttua korjattu 11.10. kello 12.38: ”OP” muutettu muotoon ”Honkajoen Osuuspankki” kohdassa, jossa puhutaan vahvistusviestin sisällöstä. Honkajoen Osuuspankki on osa POP-konsernia.