Blogi 16.5.2024 – 1/2024

Maksamisen turvallisuus on yhteispeliä

Kirjoittaja Samu Kurri työskentelee Finanssivalvonnassa Digitalisaatio- ja analyysi -osaston osastopäällikkönä.

Maksamiseen liittyvät petokset ovat kasvussa. Tämä on valitettavan tuttua meille jokaiselle, onpa kyse sitten iltapäivälehtien uutisista, kummallisen oloisista työsähköposteista tai jopa omiin puhelimiimme tulleista puheluista tai tekstiviesteistä. Finanssiala ry:n mukaan Suomessa toimivien pankkien tietoon tuli viime vuonna hujauksia 76,9 milj. euron edestä. Huijaukset ovat vahva kasvuala: vuoden 2022 46,5 milj. euroon verrattuna huijaukset lisääntyivät peräti 65 prosentilla eli lähes kahdella kolmasosalla. Onneksi pankkien onnistuneet torjunnat ovat kasvaneet vielä nopeammin, peräti 132 prosentilla. Onnistuneiden tietoon tulleiden huijausten arvo oli viime vuonna kuitenkin 44,2 milj. euroa. 

Selvitys verkkopankin, mobiilipankin ja verkkomaksamisen turvallisuudesta

Tätä taustaa vasten on selvää, että maksamisen turvallisuus kiinnostaa myös Finanssivalvontaa. Teimme siksi loppusyksystä 2023 teemakyselyn, jossa selvitimme Suomessa toimivilta pankeilta niiden verkko- ja mobiilipankkien sekä korttimaksamisen turvallisuutta. Selvitykseen kuului myös toisen maksupalveludirektiivin (PSD2) mukaisten kolmansien palvelutarjoajien kautta tapahtuvan verkkomaksamisen turvallisuus. 

Selvitimme pankkien palveluihin kirjautumiseen, maksutapahtuman tekemiseen ja maksutapahtuman hyväksymiseen liittyviä kontrolleja. Kysyimme myös asiakkaan omista mahdollisuuksista vaikuttaa näihin kontrolleihin. Kyselyn ytimessä olivat lisäksi pankkien omat prosessit näiden kontrollien hallinnoinnissa. Julkistimme teema-arviomme tulokset maaliskuun puolivälissä.

Hyvä uutinen on, että teema-arviomme perusteella pankit ovat tunnistaneet ja toteuttaneet verkkomaksamisen keskeiset osa-alueet pääosin asianmukaisesti. Turvallisuuden ratkaisut ja toteutukset erosivat kuitenkin kattavuuden osalta jonkin verran toisistaan.

Käyttäjän mahdollisuudet asettaa erilaisia rajoitteita verkko- ja mobiilipankkien kautta tapahtuvissa tilisiirroissa ja maksamisessa ovat tyypillisesti vähäisempiä kuin korttimaksamisessa. Korttimaksamisen kontrolleja ovat esimerkiksi mahdollisuus asettaa itse maksuille päivä- tai kertaluonteinen käyttöraja sekä rajoittaa maita tai maantieteellisiä alueita ja vastaanottavia tahoja, joihin maksu suuntautuu.

Myös se, millä tarkkuudella pankit monitoroivat mahdollisia petoksellisia maksuja, vaihtelee. Eroja on esimerkiksi siinä, miten pankit saavat pysäytettyä maksuja, jotka poikkeavat merkittävästi asiakkaan aikaisemmasta tilisiirtohistoriasta esimerkiksi maksun suuruuden tai sen tahon mukaan, jolle asiakas on aikaisemmin lähettänyt maksuja.

Teema-arvion keskeiset suositukset pankeille

Teema-arvion perusteella Finanssivalvonta antoi kolme suositusta maksamisen turvallisuuden kohentamiseksi.

Ensinnäkin verkko- ja mobiilimaksamisen osalta Finanssivalvonta suosittaa pankkeja kehittämään verkkopankki- ja mobiilimaksamisen kontrolleja niin, että käyttäjällä olisi mahdollisuus asettaa nykyistä monipuolisemmin turvarajoituksia tekemiinsä tilisiirtopohjaisiin maksuihin. Käytännössä tämä tarkoittaisi käyttäjälle mahdollisuutta asettaa vastaavan kaltaisia rajoitteita kuin korttimaksamisessa jo nyt on käytössä. 

Toiseksi Finanssivalvonta suosittaa pankkeja kehittämään maksujen monitorointia siten, että ne voisivat entistä tarkemmin pysäyttää asiakkaan aikaisemmasta maksuhistoriasta merkittävästi poikkeavat maksut. Pankit seuraavat maksuja jo nyt monipuolisesti mm. rahanpesun estämiseen ja pakotteiden kiertämiseen liittyen. Kyse onkin siitä, miten noita menetelmiä saataisiin sovellettua myös laajemmin, samalla kuitenkin maksamista aiheettomasti vaikeuttamatta tai hidastamatta.      

Kolmanneksi Finanssivalvonta kannustaa pankkeja jatkamaan aktiivista tiedottamista palvelujen turvallisuusuhista sekä opastamista turvallisessa sähköisten palveluiden käyttämisessä. 

Vastuu turvallisesta verkkoasioinnista on yhteinen asia

Pankeilla on vastuu verkossa tarjoamiensa palvelujen turvallisuudesta. Tältä osin pankit ovat tunnistaneet ja toteuttaneet verkkomaksamisen keskeiset osa-alueet pääosin asianmukaisesti. Tämä tarkoittaa, että pankkien sähköiset tunnistusvälineet ovat lähtökohtaisesti teknisesti erittäin turvallisia käyttää. 

Ketjun heikoin lenkki onkin monesti palveluiden käyttäjä: huijauksissa tilinomistajaa erehdytetään tavalla tai toisella tekemään tai sallimaan tilisiirtoja rikollisen hyväksi. Meillä palveluiden käyttäjillä  – sinulla ja minulla – on oma ja tärkeä vastuumme. Pankkitunnuksia on syytä säilyttää ja käyttää huolellisesti, eikä niitä tule luovuttaa kenellekään muulle. Nettipankkiin ei pidä kirjautua hakukoneen kautta, vieraasta sähköpostiosoitteesta tulleesta linkistä puhumattakaan. Yllättäviin pyyntöihin kannattaa suhtautua terveen epäluuloisesti. Jos jokin tarjous kuulostaa liian hyvältä, se lähes varmasti on myös sitä. Vaikka kilpajuoksu rikollisia vastaan on maratonlaji, huijauksen kohteeksi joutumista epäillessä laji muuttuu pikajuoksuksi. Silloin on syytä olla välittömästi yhteydessä sulkupalveluun ja pankkiin

Yksi tapa suojautua huijareilta on käyttää erilaisia tunnistautumisvälineitä erilaisiin tarpeisiin. Viranomaisten – kuten verottajan tai OmaKannan palveluihin –  ja mm. vakuutusyhtiöiden palveluihin voi kirjautua turvallisesti esim. mobiilivarmennetta käyttämällä. Vahvalla tunnistautumisvälineellä, jolla ei kuitenkaan voi hyväksyä maksuja tai edes kirjautua maksupalveluun, ei lähtökohtaisesti voi joutua vilpillisen tilisiirtohuijauksen kohteeksi. 

Erehdyttämiseen liittyvät huijaukset ovat saaneet viime kuukausina suuren huomioarvon – ja täysin ansaitusti. Valepoliisihuijaukset ja tietojen kalastelu ovat pelottavia, mutta tilastojen mukaan kuitenkin vain osa kokonaisuutta. Rahassa mitattuna sijoitushuijaukset olivat viime vuonna niitä suurempi ongelma, ja rakkaushuijaustenkin mittakaava on melkein yhtä suuri kuin kalasteluhuijausten. Tekninen turvallisuus on välttämätön edellytys luottamukselle koko maksujärjestelmään. Toisaalta tekninen turvallisuus ei yksin riitä. Omasta vakaasta tahdosta mahdollisesti pitkäaikaisenkin huijauksen kohteeksi joutuvan auttaminen voikin olla hyvin vaikeaa.

Katso myös

Suomen Pankin uutinen 15.5.2024: Kuluttajillakin on vastuu maksamisen turvallisuuden toteutumisessa