Kun helsinkiläinen Jape, 51, palasi Lapin lomaltaan kotiin kesällä 2017, hän yllättyi saamastaan postista.
– Katsoin, että ei hyvänen aika, täällä on 1 500 euron edestä laskuja asioista, joita en ole ostanut. Se oli shokeeraava tilanne, hän kertoo.
Japen osoitetiedot ja henkilötunnus olivat vuotaneet verkkoon Työtehoseuran rekisteriin tehdyssä tietomurrossa.
Nyt joku osteli hänen nimissään merkkivaatteita, lenkkareita ja kännyköitä.
Identiteettivarkaus tulee iholle
Yle pyysi aiempien tietomurtojen ja identiteettivarkauksien uhreja kertomaan kokemuksistaan. Jape ja kaksi muuta juttuun haastateltua henkilöä esiintyvät muutetuilla nimillä heidän tietojensa suojaamiseksi. Yle on ollut yhteydessä kaikkiin haastateltaviin.
Ylelle jaetuissa kokemuksissa korostui rikoksen vakavuus uhrin näkökulmasta.
– Siinä tullaan lähelle ihmisen ihoa, kun identiteetti varastetaan ja sillä tehdään rikoksia. Tuntui todella pahalta, Jape kuvailee.
Asia on jälleen ajankohtainen, kun jopa satojentuhansien helsinkiläisten tiedot on hakkeroitu.
– Uhri ei voi sille mitään, että hänen tietonsa on murrettu ja vuodettu verkkoon, Jape muistuttaa.
Alusvaatteita ja elektroniikkaa
Moni Ylelle kokemuksistaan kertonut tietomurron uhri on joutunut myös identiteettivarkauden uhriksi. Rikolliset ovat saaneet nettiin päätyneet henkilötiedot haltuunsa ja käyttäneet niitä luvatta.
Vielä 10 vuotta sitten useissa verkkokaupoissa nimi, osoitetiedot ja sosiaaliturvatunnus riittivät tilauksen tekemiseen.
Hämeenlinnalaisen Jarin, 36, tiedot hakkeroitiin Hetudump.txt-nimisen tiedoston tiemurrossa vuonna 2011. Tuolloin 16 000 ihmisen henkilötiedot julkaistiin Ylilauta.org-sivustolla.
– Tiedoillani tilattiin Hobby Hallista ja operaattoreilta puhelimia, kertoo Jari.
Hänen mielestään tietomurron ja identiteettivarkauden uhrilla pitäisi olla helpompi mahdollisuus muuttaa henkilötunnuksensa.
Digi- ja väestötietoviraston sivuilla kerrotaan, että henkilötunnuksen voi muuttaa vain, kun väärinkäytökset ovat toistuvia, niistä on huomattavaa taloudellista haittaa ja väärinkäytökset estyvät vain henkilötunnuksen muuttamisella.
Myös oululainen Tarja, 56, joutui Hetudump.txt -tietomurron uhriksi. Hänen tiedoillaan yritettiin ostaa verkkokaupoista sekalaista tavaraa aina elektroniikasta alusvaatteisiin.
Vielä omaehtoisen luottokiellon jälkeenkin verkkopankki myi tavaraa hänen tiedoillaan velaksi.
– Oli tyrmistyttävää, että Klarna katsoi rikollisen oikeuden suorittaa ostoja varastetuilla tiedoilla suuremmaksi kuin minun oikeuteni suojella identiteettiäni, Tarja toteaa.
Viime vuonna muuttuneen kuluttajansuojalain myötä uhrien asema on muuttunut hieman paremmaksi.
Nykyisin verkkokaupoissa vaaditaan vahvaa sähköistä tunnistautumista myöhemmin maksettavista ostoksista.
Suuri osa rikoksista jää selvittämättä
Yli 10 vuotta sitten ei aina ollut selvyyttä edes siitä, millä rikosnimikkeellä rikosta tutkittaisiin.
– Sanoin poliisille, että kai tämä jonkin petoksen tunnusmerkit täyttää. En kuullut poliisista mitään sen jälkeen, kun rikosilmoitus oli tehty, hämeenlinnalainen Jari toteaa.
Identiteettivarkaus lisättiin rikoslakiin vasta vuonna 2015, jonka jälkeen rikosilmoitusten määrä on kasvanut tasaiseen tahtiin.
Identiteettivarkauksien selvitysprosentti on useina vuosina ollut alhainen. Syitä voi olla monia.
– Tekijä voi peittää jälkiään ja hyödyntää ulkomaisia palveluja, joista poliisi ei saa tietoja, kertoo poliisitarkastaja Kimmo Ulkuniemi Poliisihallituksesta.
Identiteettivarkauden enimmäisrangaistus on sakkoja, mikä rajoittaa poliisin käytössä olevia tiedonhankintakeinoja.
– Poliisin ensimmäinen arvio oli, että tekijää tuskin saadaan kiinni, koska tällaisia rikoksia tehdään niin paljon, helsinkiläinen Jape kertoo.
Hänen kohdallaan rikokset kuitenkin lopulta selvisivät.
Stressiä, huolta ja lukemattomia puheluja
Identiteettivarkauden selvittely edellyttää uhrilta aikaa, rahaa ja vaivaa vaativia toimenpiteitä.
Uhrien täytyy tehdä rikosilmoitus poliisille, jotta he saavat rikollisten heidän nimissään tekemät ostokset peruttua.
– Jokainen valheellinen ostos piti todistaa verkkokaupoille erikseen. Se oli uuvuttavaa, helsinkiläinen Jape muistelee.
Suurin osa Ylelle vastanneista tietomurron uhreista on suojannut tietonsa omaehtoisella luottokiellolla. Se rajoittaa rikollisten mahdollisuutta käyttää nettiin vuotaneita henkilötietoja väärin.
Toisaalta omaehtoinen luottokielto vaikeuttaa uhrin elämää. Osamaksusopimuksen tai luottoa saadakseen luottokielto pitää purkaa hetkellisesti tai sen omaehtoisuus tulee todistaa.
Moni uhri kertoo maksavansa luottokiellosta luottotietoyhtiölle vuosimaksua. Nämä maksut jäävät uhrin taakaksi.
– Identiteettivarkaiden toiminta on aiheuttanut stressiä, huolta, lukemattomia puheluita tavaroiden myyjille, poliisille, luottoyhtiöihin. Joudun varmaan loppuikäni ostamaan luottokiellon itselleni, oululainen Tarja kertoo.
Vapaaehtoisen luottokiellon on voinut huhtikuusta 2024 alkaen tehdä myös maksuttomasti positiivisessa luottotietorekisterissä.
Uhrille tietomurto on elinkautinen
Uhrille oikeudessa määrätyt vahingonkorvaukset voivat tuntua pieniltä suhteessa teosta aiheutuneeseen haittaan.
Jape on joutunut identiteettivarkauden uhriksi kaksi kertaa.
– Sain oikeudessa ensimmäisestä tapauksesta 50 euron ja toisesta 300 euron korvauksen. Kummastakaan en ole saanut euron euroa, helsinkiläinen Jape toteaa.
Hän purki omaehtoisen luottokiellon viisi vuotta tietomurron jälkeen.
Noin kaksi kuukautta sen jälkeen hänen tiedoillaan alettiin tehdä uudestaan kauppaa.
– Tietomurto on sen uhrille elinkautinen riesa.