Kuluttajan vastuu puhelimeen asentuneen haittaohjelman aiheuttamista tekstiviestimaksuista

Asiaselostus

Kuluttajan puhelinliittymästä lähti 5.1.2021 ulkomaille 2 500 tekstiviestiä. Tietoliikenteen poikkeuksellisuuden vuoksi elinkeinonharjoittaja otti samana päivänä kuluttajaan yhteyttä. Puhelimen käyttö oli viitannut haittaohjelmaan. Elinkeinonharjoittaja tarjoutui hyvittämään puolet tekstiviestimaksuista. Asiassa on kysymys kuluttajan ja teleyrityksen välisestä vastuun jaosta, kun viestintäpalvelua on käytetty oikeudettomasti.

Lautakunnan ratkaisu

Kuluttajariitalautakunta ei suosita hyvitystä.

Hakijan vaatimukset perusteluineen

Kuluttaja vaatii, että tekstiviesteistä aiheutuneet kulut jäävät kokonaisuudessaan teleyrityksen vastuulle.

Puhelimeen oli tullut kuljetusyrityksen nimissä tekstiviestillä linkki, jota oli epähuomiossa painettu. Samalla oli todennäköisesti asennettu haittaohjelma. Tästä syystä aiheutui noin 750 euron suuruinen lasku, jonka vuoksi elinkeinonharjoittaja otti yhteyttä. Elinkeinonharjoittaja ilmoitti asettaneensa jonkinlaisen eston ja hyvitti puolet tästä summasta.

Elinkeinonharjoittajalla pitäisi olla näistä haittaohjelmista tiedot ylhäällä, eikä vastaavaa saisi päästä tapahtumaan. Tämän lisäksi puhelimeen oli elinkeinonharjoittajan kivijalkaliikkeessä liittymäsopimuksen allekirjoittamisen aikana asetettu kaikki niin sanotut lisämaksuestot paitsi esimerkiksi Kelan numerot, sillä kyseinen liittymä tehtiin kuluttajan nimissä iäkkäälle miehelle.

Elinkeinonharjoittajan vastaus perusteluineen

Elinkeinonharjoittaja kiistää kuluttajan vaatimukset. Yhtiö on perustellut kiistämistään pääpiirteissään seuraavasti.

Asiakkaan liittymällä havaittiin poikkeuksellista liikennettä 5.1.2021 ja tämän perusteella asiakkaaseen otettiin puhelimitse yhteyttä saman päivän aikana. Liittymästä oli lähetetty paljon tekstiviestejä ulkomaille (724,99 euroa), mikä viittasi puhelimelle asentuneeseen haittaohjelmaan. Yhtiön selvityksen perusteella asiakas oli todennäköisesti klikannut viestiä, joka oli vienyt väärennetylle kuljetusyrityksen sivustolle, mistä oli latautunut haittaohjelma puhelimeen. Kyberturvallisuuskeskuksen mukaan haittaohjelma on ollut kuljetusyrityksen nimellä esiintyvä APK-tiedosto.

Asiakkaan asentaman haittaohjelman kautta ehti lähteä 2 500 viestiä. Asia ei ole voinut jäädä asiakkaalta huomaamatta, sillä haittaohjelman asentamiseen asiakkaan on tullut antaa sovellukselle käyttöoikeudet, mistä liikenne oli alkanut. Välttääkseen ison laskun viesteistä asiakkaan olisi tullut välittömästi ilmoittaa elinkeinonharjoittajalle tapahtuneesta vahingosta, mutta asiakas ei ilmoitusta tehnyt. Elinkeinonharjoittaja viittaa toimitusehtojensa kohtaan 4.3, joka koskee viestintäpalvelun oikeudetonta käyttöä.

Teknisesti laskutus on tapahtunut oikein ja elinkeinonharjoittajalla on toimitusehtojen mukaisesti oikeus veloittaa tapahtumat. Elinkeinonharjoittajan puolella ymmärrettiin tilanne ja se, ettei tekstiviestejä ollut tarkoituksellisesti lähetetty, vaan ne johtuivat puhelimeen tulleesta haittaohjelmasta. Tästä syystä asiassa tultiin poikkeuksellisesti vastaan ja hyvitettiin puolet haittaohjelman aiheuttamista ulkomaan tekstiviestiveloituksista. Hyvitys oli summaltaan 364,69 euroa ja se näkyi asiakkaan laskulla erillisenä hyvityksenä.

Asiakas on liittymäsopimuksen tehdessään hyväksynyt elinkeinonharjoittajan palveluiden yleiset toimitusehdot kuluttaja-asiakkaille, joiden lyhennelmän mukaan "Asiakkaana vastaat liittymäsi ja palvelun käytöstä sekä maksuista, vaikka olisit luovuttanut sen toiselle".

Sovellettavien sopimusehtojen mukaan asiakas käyttää palvelua omalla vastuullaan. Asiakkaan on huolehdittava palvelun käytön, laitteiden ja ohjelmiston riittävästä tietoturvasta sekä tarvittaessa viestintäpalvelunsa käytöstä esto-, käyttöraja- ja saldorajoituspalveluilla. Tietoturvaa koskevia suojaustoimenpiteitä ovat muun muassa virustorjunta- ja palomuuriohjelmiston hankinta ja päivittäminen, käyttöjärjestelmän ja ohjelmistojen päivittäminen sekä muut vastaavat tarpeelliset toimet. Elinkeinonharjoittaja antaa perustietoa ja opastusta palveluunsa liittyvästä tietoturvasta.

Liittymän avauksen yhteydessä asiakas tilasi liittymälle palvelunumeroeston viihdepuheluille (estoluokka P3) sekä asiointi- ja viihde-eston palvelutekstiviesteille (estoluokka P2). Nämä estot eivät rajoita tekstiviestien lähettämistä ulkomaille. Muita estoja ei ole liittymään tilattuna. Elinkeinonharjoittajalle ei ole ilmoitettu, että liittymää käyttää joku muu kuin asiakas.

Yhtiön yhteydenoton yhteydessä 5.1.2021 liittymälle aktivoitiin tekstiviestien lähetysesto lisäkustannusten minimoimiseksi.

Elinkeinonharjoittaja katsoo, ettei se ole velvollinen hyvittämään asiakkaan laskulla veloitettuja ulkomaille lähetettyjä tekstiviestejä. Elinkeinonharjoittajan kanta asiassa perustuu sille, että tekstiviestit on laskutettu teknisesti oikein ja ne johtuvat asiakkaan huolimattomuudesta puhelinliittymää käyttäessä. Myös poliisi ja Kyberturvallisuuskeskus ovat varoittaneet erilaisista tekstiviestillä liikkeellä olleista haittaohjelmista uutisissa ja lehdissä. Hyväntahdon eleenä kuluista hyvitettiin puolet, mutta lisähyvityksiin ei ole aihetta. Elinkeinonharjoittaja tulouttaa maksut eteenpäin ulkomaan operaattoreille, joten liikenteestä aiheutuu elinkeinonharjoittajalle kustannuksia.

Ratkaisun perustelut

Sovellettavat säännökset ja sopimusehdot

Sähköisen viestinnän palveluista annetun lain 125 §:n mukaan teleyrityksen on viipymättä suljettava viestintäpalvelu tai estettävä sen käyttö, jos viestintäpalvelun tilaaja, käyttäjä, poliisi, vakuutusyhtiö tai toinen teleyritys ilmoittaa, että viestintäpalvelun hallinnoinnissa käytettävä laite on kadonnut, se on oikeudettomasti toisen hallussa tai sitä on oikeudettomasti käytetty ja pyytää viestintäpalvelun sulkemista tai sen käytön estämistä.

Tilaaja vastaa viestintäpalvelun oikeudettomasta käytöstä vain, jos laitteen katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö on johtunut tilaajan tai käyttäjän huolimattomuudesta, joka ei ole lievää.

Tilaaja ei vastaa viestintäpalvelun oikeudettomasta käytöstä siltä osin kuin viestintäpalvelua on käytetty sen jälkeen, kun tilaaja tai käyttäjä on tehnyt teleyritykselle 1 momentissa tarkoitetun ilmoituksen.

Asiassa sovellettavien sopimusehtojen (Elinkeinonharjoittajan palveluiden yleiset toimitusehdot kuluttaja-asiakkaille) kohdan 4.3 mukaan viestintäpalvelun oikeudettomalla käytöllä tarkoitetaan tilannetta, jossa kolmas henkilö käyttää asiakkaan viestintäpalvelua tai sen avulla muuta palvelua ilman asiakkaan suostumusta. Asiakas vastaa oikeudettomasta käytöstä vain, jos se on johtunut asiakkaan huolimattomuudesta, joka ei ole lievää. Asiakas ei vastaa viestintäpalvelun oikeudettomasta käytöstä sen jälkeen, kun teleyritys on vastaanottanut asiakkaan tekemän laitteen katoamisilmoituksen tai ilmoituksen oikeudettomasta käytöstä. Välttääkseen vastuunsa oikeudettomasta käytöstä aiheutuvista maksuista asiakkaan tulee tehdä välittömästi ilmoitus puhelimitse teleyrityksen tätä tarkoitusta varten tarjoamaan puhelinnumeroon tai muuta teleyrityksen tätä tarkoitusta varten tarjoamaa kanavaa käyttäen. Teleyrityksellä on velvollisuus sulkea viestintäpalvelu tai estää päätelaitteen käyttö välittömästi ilmoituksen vastaanotettuaan.

Asian arviointi

Asiassa on kysymys vastuun jaosta teleyrityksen ja kuluttajan välisessä suhteessa, kun viestintäpalvelua on käytetty oikeudettomasti. Jos vastuun katsotaan kuuluvan kuluttajalle, hän joutuu maksamaan tekstiviesteistä, joita ei ole lähettänyt. Jos vastuun katsotaan kuuluvan teleyritykselle, yritys ei saa periä kuluttajalta korvausta tekstiviesteistä.

Sähköisen viestinnän palveluista annetun lain ja sovellettavien sopimusehtojen mukaan kuluttajan vastuun peruste on kuluttajan lievää suurempi huolimattomuus. Jos kuluttajan arvioidaan menetelleen huolellisesti tai vain lievän huolimattomasti, kuluttaja ei vastaa viestintäpalvelun oikeudettomasta käytöstä. Kuluttajan vastuu ei siis edellytä samalla tavoin kuin esimerkiksi maksupalvelulaissa, että huolimattomuus olisi törkeää, vaan jo tavallinen tuottamus riittää vastuun syntymiseen.

Tässä tapauksessa matkapuhelinliittymän haltija, joka on ratkaisupyynnön hakija, on kertonut liittymän olleen tosiasiassa toisen henkilön käytössä. Liittymän haltija on liittymän toiselle luovutettuaan lähtökohtaisesti vastuussa käyttäjän tekemistä toimista ja hänen huolellisuudestaan liittymän käytössä.

Tapahtumien kulusta saadun niukan selvityksen perusteella liittymän käyttäjä on saanut puhelimeensa linkin sisältävän tekstiviestin. Linkin avaamalla käyttäjä on päätynyt verkkosivuille, jossa tarjottiin ladattavaksi sovellusta (APK-tiedostoa) käyttäjän laitteeseen. APK-tiedosto on sisältänyt tekstiviestejä ulkomaille lähettävän haittaohjelman.

Lautakunnalle ei ole esitetty kuvakaappausta tai muuta selvitystä käyttäjälle lähetetyn tekstiviestin sisällöstä eikä siitä, mistä numerosta viesti on tullut. Viesti on ilmeisesti ollut suomenkielinen eikä siinä ole ollut kirjoitusvirheitä tai muuta erityistä, jonka olisi pitänyt herättää epäily viestin luotettavuudesta. Käyttäjä on avannut tekstiviestissä olevan linkin, jonka kautta hän on päätynyt verkkosivulle, jossa tarjottiin ladattavaksi haittaohjelman sisältänyttä sovellusta. Sovelluksen asentaminen puhelimeen on edellyttänyt käyttäjän nimenomaista hyväksyntää.

Käytettävissä oleva selvitys ei anna aihetta katsoa, että käyttäjällä olisi yksinomaan tekstiviestin sisällön perusteella ollut aihetta epäillä viestiä huijausviestiksi. Pelkkä linkin avaaminen ei vielä asenna haittaohjelmaa, vaan käyttäjä ohjataan asentamaan haittaohjelma linkin takaa avautuvalla verkkosivulla. Haittaohjelman sisältäneen sovelluksen asentaminen puhelimeen on edellyttänyt käyttäjän nimenomaista hyväksyntää ja mahdollisesti laitteen suojausasetusten poistamista käyttäjän toimesta.

Asiassa ei ole selvitetty, onko elinkeinonharjoittaja nimenomaisesti varoittanut tekstiviestitse levitettävistä haittaohjelmista. Tässä tapauksessa huijaus tapahtui 5.1.2021, jolloin tämänkaltaisten tekstiviestihuijausten mahdollisuus ei välttämättä ollut yleisesti tiedossa. Toisaalta esimerkiksi Kyberturvallisuuskeskus oli julkaissut jo 28.5.2020 varoituksen koskien kuljetusyritystä hyödyntäviä huijausviestejä. Lautakunta katsoo myös tavanomaiseen huolellisuuteen kuuluvan, ettei puhelimen käyttäjä asenna laitteelleen virallisen sovelluskaupan ulkopuolisia sovelluksia varmistumatta, että ne ovat peräisin turvallisesta lähteestä. Käyttäjän on pitänyt ymmärtää, ettei tuntemattomien sovellusten asennusta tule sallia. Kuluttajan pitää ymmärtää tähän liittyvä riski, koska se mahdollistaa myös haitallisten sovellusten asentamisen laitteelle. Lautakunta katsoo menettelyn tuntemattoman sovelluksen asentamisessa osoittavan lievää suurempaa huolimattomuutta, mikä riittää vastuun syntymiseen. Tämän vuoksi vastuu oikeudettomasta käytöstä aiheutuneista tekstiviestimaksuista jää kuluttajan kannettavaksi eikä elinkeinonharjoittaja ole velvollinen maksamaan lisähyvitystä.

Päätös oli yksimielinen.