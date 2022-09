S-Pankin virhe avasi ovet satojen asiakkaiden tileille, terveys­tietoihin, mahdollisti pika­vipit... – pankki kertoo, mistä on kyse

S-Pankin kuukausia kestänyt järjestelmävirhe mahdollisti vahvan sisäänkirjautumisen niin verkkopankkiin kuin vahvaa tunnistautumista edellyttäviin kolmannen osapuolen palveluihin.

Pankki on alkanut ottaa yhteyttä asiakkaisiin, joiden pankkitileille tai muihin palveluihin on kirjauduttu luvatta.

Satojen S-Pankin asiakkaiden tunnuksilla on kirjauduttu järjestelmävirheen vuoksi kevään, kesän ja syksyn aikana luvatta sekä pankin että kolmannen osapuolen palveluihin. Tunnuksilla on tehty muun muassa luvattomia tilisiirtoja. Verkkopankissa vieraiden katseltavaksi ovat saattaneet joutua muun muassa tilitapahtumat, sopimukset, verkkopankin viestit tai lainatiedot.

Virhe on mahdollistanut väärinkäytökset myös vahvaa tunnistautumista edellyttävissä kolmannen osapuolen palveluissa, joita ovat muun muassa pikavippiyhtiöt, terveystiedot sisältävä Omakanta, Kela, verohallinto sekä vakuutusyhtiöt.

S-Pankki on alkanut tiedottaa tapahtuneesta eilen niille asiakkaille, joita asia koskee.

S-Pankin digitaalisesta kehityksestä vastaava johtaja Carl-Edvard Holmberg kertoo pankin kärsineen huhti–elokuussa sisäänkirjautumisen järjestelmähäiriöstä.

– Olemme erittäin pahoillamme tästä ja pyydämme asiakkailtamme anteeksi tapahtunutta. Häiriöt on korjattu, ja asiakaskontaktointi on kesken. Olemme yhteydessä kaikkiin asiakkaisiimme, joita tämä koskee, Holmberg sanoo.

Holmbergin mukaan pankki sanoo kantavansa vastuun asiassa. Jos asiakkaille on koitunut taloudellisia menetyksiä, pankki korvaa ne.

Miten isoa asiakasjoukkoa tämä koskee?

– Jokainen asiakas on liikaa. Tämä koskee pientä määrää asiakkaista, ja vielä pienempi on määrä, joiden kohdalla väärinkäyttöä on tapahtunut.

Näyttää pahalta, jos ette kerro lukumäärää julkisuuteen. Ihmiset alkavat spekuloida.

– Puhutaan muutamasta sadasta asiakkaasta, jotka ovat kokonaisuudessaan asian kohteena. Ja heissä on pienempi joukko, joiden kohdalle on osunut taloudellista väärinkäyttöä.

Onko myös tämän isomman joukon tunnuksilla kirjauduttu sisälle?

– Isomman joukon, joihin ei ole kohdistunut taloudellisia väärinkäytöksiä, myös heidän verkkopankkiinsa on kirjauduttu.

Ilmeisesti ette kerro tarkemmin asiakasjoukon kokoa?

– Emme. Se on pieni joukko, kun ottaa kokonaisasiakasmäärän ja palveluiden käytön huomioon. Mutta ei vähäpätöinen joukko perspektiivistämme.

Pystytkö kommentoimaan väärinkäytösten kohteeksi joutuneen joukon kokoa?

– Tämä on poliisiasia. Olemme tehneet poliisille tutkintapyynnön, ja toimitamme poliisille kaikki tarvittavat tiedot tutkinnan edistämiseksi. Siksi en voi tuota lukua tarkemmin avata.

Onko mahdollista selvittää, minkä palvelun kohdalla tunnuksia on käytetty väärin, eli onko niillä kirjauduttu esimerkiksi Kelaan tai Omakantaan?

– Tämä on meillä selvityksessä. Toimimme luottamusverkostossa [vahvan sisäänkirjautumisen takana olevien palveluiden verkostossa]. Olemme tehneet tästä ilmoituksen Traficomille, ja olemme luottamusverkostossa kontaktoineet tunnistusvälityspalveluiden tarjoajia ja toimitamme heille tarvittavat tiedot kirjautumisten selvittämiseksi. Luottamusverkoston sisällä me emme näe sisäänkirjautumisten kohteita.

Saavatko asiakkaat esimerkiksi tiedon siitä, että heidän terveystietojaan on käyty katselemassa, jos näin on tapahtunut?

– Kyllä, relevantit rekisterinpitäjät informoivat asiakkaitaan sääntelyn mukaisesti. Luottamusverkoston käytännesääntöjen mukaan tätä asiaa selvitetään.

Millaisella aikataululla ne asiakkaat, joita tämä koskee, saavat tiedon tunnustensa väärinkäytöstä?

– Kaikille asiakkaille, joita tämä koskee, on mennyt verkkoviestit. Tällä hetkellä soitamme kaikille asiakkaille. Pyrimme saamaan kaikki kiinni muutaman päivän sisällä. Kun puhutaan asiointipalveluiden käytön selvittämisestä, siinä tarvitsemme apua muilta markkinaosapuolilta. Siitä en uskalla mitään vedenpitävää sanoa.

– Jos asiakkaan puolesta on kirjauduttu muihin palveluihin ja tehty muutoksia tai hakemuksia, niin asiakas ei ole näistä vastuussa. Nämä muutokset tai hakemukset on tehty identiteettivarkaudella. Asiakkaiden kanssa tämä käydään läpi ja annetaan ohjeet, miten tällaisessa tilanteessa pitää edetä.

Onko tietoa, miten paljon näillä sisäänkirjautumisilla on tehty rahansiirtoja S-Pankin palveluissa?

– Tämä menee valitettavasti poliisille tehdyn tutkintapyynnön puolelle, enkä voi avata asiaa sen enempää. Kannamme vastuun asiakkaiden suuntaan maksutapahtumaväärinkäytöstä ja korvaamme ne asiakkaille.

Millaisia toimenpiteitä väärinkäytösten kohteeksi joutuneelta asiakkaalta edellytetään?

– Olemme yhteydessä kaikkiin, joita tämä koskee. Jos yhteydenottoa ei tule, silloin asiakas ei liity tapaukseen. Käymme läpi kaikki tilitapahtumat, jotka ovat tapauksen selvittämisen kannalta relevantteja, ja hoidamme korvaukset. Riippumatta siitä, onko asiakas tehnyt ilmoitusta maksutapahtuman väärinkäytöstä tai ei, tutkimme ne meiltä käsin.

Onko korvauksissa kyse vain rahojen palauttamisesta vai myös vahingonkorvauksesta? Moni halunnee korvauksia tapahtuneesta, mikä on pankin käytäntö tämän suhteen?

– Korvaamme asiakkaille kaikki häiriöstä johtuneet välittömät taloudelliset vahingot.

Eli asiakas saa omansa takaisin, mutta pankki ei ole maksamassa vahingonkorvauksia tapahtuneesta?

– Kannamme täyden vastuun tästä asiakkaan suuntaan, ja korvaamme asiakkaiden kärsimät välittömät taloudelliset vahingot.

Miten prosessi etenee nyt pankin ja poliisin taholta?

– Prosessi etenee pankin puolelta siten, että jatkamme yhteydenpitoa viranomaisiin, joihin olimme yhteydessä heti, kun virhe huomattiin. Olemme päivittäneet viranomaisille informaatiota sitä mukaa, kun olemme saaneet itse asioita selvitettyä. Poliisille on tehty tutkintapyyntö ja prosessi etenee sen mukaisesti. Me ohjeistamme asiakkaita, joita tämä koskee jatkotoimenpiteiden osalta.

Pystytkö kommentoimaan ongelman syytä? Se vaikuttaa olleen hyvin pitkäkestoinen.

– Häiriö oli 20.4.–5.8. Syy oli tunnistautumisen järjestelmähäiriö yhdessä komponentissa. Se on nyt korjattu, eikä ongelmaa enää ole, ja S-Pankin palveluiden käyttö on turvallista. Verkkopankkitunnukset tai korttitiedot eivät ole vaarantuneet. Nyt selvitellään seurauksia.

Eikö korttitietoihin pääse käsiksi verkkopankin kautta?

– Verkkopankissa ei ole kokonaisia korttitietoja näkyvillä.

Eli sieltä ei ole mahdollista ottaa kortin tietoja ja käyttää niitä petoksiin?

– Ei.