Milla Martin Sähköinen tunnistaminen automatisoidussa luotonmyöntöprosessissa Luotonantajan riskiperusteisen arvioinnin näkökulmasta Vaasa 2023 Laskentatoimen ja rahoituksen akateeminen yksikkö Talousoikeuden pro gradu -tutkielma Talousoikeuden maisteriohjelma 2 VAASAN YLIOPISTO Laskentatoimen ja rahoituksen akateeminen yksikkö Tekijä: Milla Martin Tutkielman nimi: Sähköinen tunnistaminen automatisoidussa luotonmyöntöprosessissa – luotonantajan riskiperusteisen arvioinnin näkökulmasta Tutkinto: Kauppatieteiden maisteri Oppiaine: Talousoikeuden maisteriohjelma, rahoitusjuridiikka Työn ohjaaja: Marika Salo-Lahti Valmistumisvuosi: 2023 Sivumäärä: 85 TIIVISTELMÄ: Luottolaitoksen tärkeimpänä tehtävänä voidaan pitää rahoittamista ja luoton myöntämistä. Perinteisestä pankkivirkailijan kanssa käydystä luottoneuvottelusta alkaneen luotonmyöntöprosessin tilalle on tullut luoton etämyynti sekä luoton myöntäminen etäyhteyden välityksellä. Automatisoitu luotonmyöntöprosessi onkin monilla luottolaitoksilla käytössä. Automatisoidussa luotonmyöntöprosessissa hyödynnetään automaattista päätöksentekoa, profilointia sekä vahvaa sähköistä tunnistamista. Vahvalla sähköisellä tunnistamisella tarkoitetaan yksikertaisuudessaan henkilön henkilöllisyyden todentamista sähköisesti. Tässä oikeusdogmaattisessa pro gradu -tutkielmassa tutkitaan sähköistä tunnistamista automatisoidussa luotonmyöntöprosessissa luotonantajan riskiperusteisen arvioinnin näkökulmasta. Tutkielman tarkoituksena on selvittää lain esitöiden, kansallisen lainsäädännön, EU-säädösten, oikeuskirjallisuuden sekä oikeustapausten avulla, mikä on sähköisen tunnistamisen merkitys automatisoidussa luotonmyöntöprosessissa, minkälaisia riskejä automatisoituun luotonmyöntöprosessiin kohdistuu luotonantajan näkökulmasta sekä minkälaisilla toimilla luotonantaja voi ehkäistä verkkopankkitunnusten väärinkäyttöä. Tutkielman kohteena ovat sähköinen tunnistaminen automatisoidussa luotonmyöntöprosessissa sekä verkkopankkitunnukset. Tutkielmassa luotonmyöntöprosessin oikeudellinen viitekehys koostuu oikeustoimiopista, sähköisestä oikeustoimiopista, hyvästä pankki- ja luotonantotavasta, Finanssivalvonnan ohjeista ja määräyksistä sekä EU:n tietosuoja- asetuksesta. Sähköisen tunnistamisen merkitys automatisoidussa luotonmyöntöprosessissa on merkittävä. Sen myötä luottosopimus voidaan allekirjoittaa sähköisen allekirjoituksen avulla ja siten se on mahdollistanut etäyhteyden välityksellä tehtävän luotonmyönnön luottolaitoksille. Sähköisellä tunnistamiselle voidaan lisäksi varmentua henkilön henkilöllisyydestä, jolloin luotonmyöntäminen on turvallista ja luotettavaa. Automatisoituun luotonmyöntöprosessiin kohdistuvat riskit voidaan jakaa ensitunnistamisessa tapahtuviin riskeihin, tunnistusvälineen hallinnan menettämiseen kohdistuviin riskeihin sekä järjestelmien puutteista aiheutuviin riskeihin. Luotonantaja voi omalla toiminnallaan ennaltaehkäistä verkkopankkitunnusten väärinkäyttöä panostamalla asiakkaan tunnistamiseen, luottojärjestelmän kehittämiseen sekä asiakkaan perehdyttämiseen tunnistusvälineen käytössä. AVAINSANAT: sähköinen tunnistaminen, luotonmyöntöprosessi, riskiperusteinen arviointi, asiakkaan tunteminen, oikeudeton käyttö, huolellisuusvelvoite 3 Sisällys 1 Johdanto 6 1.1 Tutkimuksen kohde 9 1.2 Tutkimusongelma ja tutkimuksen rajaus 12 1.3 Tutkimusmenetelmä ja -aineisto 13 1.4 Tutkimuksen rakenne 14 2 Luotonmyöntöprosessin oikeudellinen viitekehys 16 2.1 Luoton myöntäminen ja luottosopimuksen syntyminen 17 2.2 Luottosopimuksen syntyminen sähköisen allekirjoituksen avulla 20 2.3 Luottopalvelujen etämyynti 23 2.4 Hyvä pankki- ja luotonantotapa 25 2.5 Finanssivalvonnan ohjeet ja määräykset 29 2.6 EU:n yleinen tietosuoja-asetus 34 3 Asiakkaan tunteminen ja tunnistaminen osana automatisoitua luotonmyöntöprosessia 39 3.1 Asiakkaan tunteminen 40 3.2 Asiakkaan tunnistaminen 44 4 Sähköinen tunnistaminen ja siihen liittyvät riskit 49 4.1 Sähköinen tunnistaminen tunnistamismenetelmänä 49 4.2 Luottokortin ja verkkopankkitunnusten oikeudeton käyttö 53 4.3 Oikeudettoman käytön arviointi riskiperusteisesta näkökulmasta 57 5 Sopimusosapuolten vastuunjaosta verkkopankkitunnusten väärinkäytön ehkäisemisessä 59 5.1 Luotonottajan huolellisuusvelvoite 60 5.2 Luotonantajan huolellisuus- ja tuntemisvelvollisuus 65 5.3 Vastuunjaon arviointi riskiperusteisesta näkökulmasta 68 6 Johtopäätökset 70 Lähteet 77 4 Kuviot Kuvio 1. Vahva Sähköinen tunnistaminen ja sähköinen allekirjoitus luotonmyöntöprosessissa. 23 Kuvio 2. Riskiperusteinen arviointi asiakkaan tuntemisessa. 42 5 Säädösluettelo KSL Kuluttajansuojalaki 38/1978 Luottolaitoslaki (LLL) Laki luottolaitostoiminnasta 610/2014 Maksupalvelulaki Maksupalvelulaki 290/2010 Oikeustoimilaki Laki varallisuusoikeudellisista oikeustoimista 228/1929 Rahanpesulaki (RPL) Laki rahanpesun ja terrorismin rahoittamisen estämisestä 444/2017 Tunnistuslaki Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 617/2009 eIDAS-asetus Euroopan parlamentin ja neuvoston asetus (EU) N:o 910/2014, annettu 23 päivänä heinäkuuta 2014, sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta Rahanpesudirektiivi Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/849, annettu 20 päivänä toukokuuta 2015, rahoitusjärjestelmän käytön estämisestä rahanpesuun tai terrorismin rahoitukseen, Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 648/2012 muuttamisesta sekä Euroopan parlamentin ja neuvoston direktiivin 2005/60/EY ja komission direktiivin 2006/70/EY kumoamisesta Rahoituspalvelujen etämyyntidirektiivi Euroopan parlamentin ja neuvoston direktiivi 2002/65/EY, annettu 23 päivänä syyskuuta 2002, kuluttajille tarkoitettujen rahoituspalvelujen etämyynnistä ja neuvoston direktiivin 90/619/ETY sekä direktiivien 97/7/EY ja 98/27/EY muuttamisesta Toinen maksupalveludirektiivi Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/2366, annettu 25 päivänä marraskuuta 2015, maksupalveluista sisämarkkinoilla, direktiivien 2002/65/EY, 2009/110/EY ja 2013/36/EU ja asetuksen (EU) N:o 1093/2010 muuttamisesta sekä direktiivin 2007/64/EY kumoamisesta Yleinen tietosuoja-asetus Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) 6 1 Johdanto Vuosien 2007–2009 aikana vallinneen finanssikriisin myötä pankkien sääntelyä uudistettiin. Esimerkiksi laki luottolaitostoiminnasta tuli voimaan vuonna 2014. Vuonna 2015 Suomen pankin asiantuntijat arvioivat pankkien toimintaympäristön olevan yleisen taloustilanteen, matalien korkojen, uuden pankkisäätelyn sekä digitalisaation aiheuttamien muutosten keskellä 1 . Vuonna 2023 voidaan sanoa, että pankkien toimintaan ovat vaikuttaneet niin digitalisaation sekä teknologian ja tekoälyn kehittyminen kuin Covid-19 pandemia sekä Venäjän hyökkäyssotakin. Finanssivalvonnan mukaan kuluttajien talouden hoitoa rasittava heikkenevä talouskasvu, nousevat korot sekä korkea inflaatio heikentävät Suomen finanssisektorin kannattavuutta. Korkean inflaation myötä kuluttajien ostovoima heikkenee ja keskuspankkikorot nousevat. 2 Hyvin toimivat rahoitusmarkkinat ovat edellytys kansantalouden kehittymiselle. Rahoitusmarkkinoiden keskeisinä toimijoina voidaan pitää erilaisia luottolaitoksia, kuten talletuspankkeja ja luottoyhteisöjä. Vuonna 2021 Suomessa toimi 208 luottolaitosta3. Luottolaitosten tarjoamien luottopalvelujen suuri tarjonta kertoo niiden suuresta kysynnästä. Finanssiala ry:n selvityksen mukaan luottojen kysynnän taustalla oli vuonna 2021 talouden elpyminen4. Rahoituspalveluita voidaan myydä perinteisesti luottolaitosten konttoreilla, mutta myös etämyyntinä. Rahoituspalvelujen etämyyntidirektiivin (Neuvoston direktiivi 2002/65/EY5) sääntelyn tarkoituksena on oikeusministeriön työryhmämietinnön mukaan poistaa etätarjonnan esteitä, jotka johtuvat lainsäädäntöeroista. Sähköisen kaupankäynnin kehittymisen ansiosta kuluttajille avautuu mahdollisuus rahoituspalveluiden 1 Fungácová ja muut, 2015. 2 Finanssivalvonta, lehdistötiedote 8.12.2022. Ks. myös Suomen pankki, Euribor korot 18.2.2023: 15.6.2022 12kk Euribor 1,067 % ja 17.2.2023 12 kk Euribor 3,572 %. 3 Finanssiala ry, Pankkivuosi 2021. 4 Finanssiala ry, Pankkivuosi 2021. 5 EUVL N:o L 271, 9.10.2002, s. 16–24. 7 hankkimiseen etäsopimuksin, jopa eri valtioista. Etäsopimuksen syntymiseen liittyvät sopimusneuvottelut pidetään siten, etteivät sopimusosapuolet tapaa toisiaan fyysisesti6. Useat pankit ovat siirtäneet luottopalveluiden luotonmyöntöprosessin joko osittaisesti tai kokonaan automatisoituun luotonmyöntöprosessiin. Asiakas voi hakea luottoa pankin internetsivujen kautta ja luottopäätös voidaan tehdä automaattisesti pankin luottopäätösjärjestelmässä. Asiakkaalla on kuitenkin oikeus pyytää automatisoidun luottopäätöksen käsittelyä manuaalisesti pankin työntekijän toimesta. Automatisoidussa luotonmyöntöprosessissa käytetään asiakkaan tunnistamiseen vahvaa sähköistä tunnistamista. Vahvalla sähköisellä tunnistamisella tarkoitetaan tunnistuslaissa henkilön henkilöllisyyden todentamista sähköisesti. Vahvalla sähköisellä tunnistamisella halutaan lisätä sähköisen asioinnin turvallisuutta7. Se, että FINEn vakuutus- ja rahoitusneuvonnan yhteydenottojen määrä kasvoi 10 prosenttia vuonna 2022 ja, että yhteydenotoissa korostui asiakkaan tunnistamiseen, ja verkkohuijauksiin liittyvät asiat 8 , kertoo yhtäältä, että kuluttajat ovat varovaisempia sähköisten tunnistusmenetelmien, kuten verkkopankkitunnusten, kanssa ja toisaalta sitä, että kuluttajat pelkäävät huijatuksi tulemista. Savolainen kirjoittaa, että pankkiasioissa asiakkaan tunnistamiseen liittyvät seikat sekä tilien sulkemiseen ja rahanpesun estämiseen liittyvät toimintaperiaatteet olivat FINEllä kysytyimpiä asiakokonaisuuksia9. Yle on uutisoinut verkkopankkitunnusten väärinkäytöstä liittyen huijaus- ja kalasteluviesteihin, joita on tullut poliisiksi tekeytyneeltä henkilöltä. Verkkopankkitunnuksia ei tule luovuttaa kenellekään.10 Tutkimusaihe on ajankohtainen digitalisaation kiihtymisen vuoksi. Verkkopankkitunnusten väärinkäytön nojalla tehdyt luottopäätökset ja niistä johtuvat vahingonkorvausoikeustapaukset ovat lisääntyneet11. 6 Oikeusministeriö, 2003. 7 HE 237/2020 vp, s. 3. 8 Savolainen, 11.1.2021. 9 Savolainen, 11.1.2021. 10 Niemistö, 2022. 11 ks. KKO 2016:73 ja KKO 2018:71. 8 Hallituksen esityksessä (HE 237/2020 vp) on todettu, että suurin osa sähköisestä tunnistautumisesta tapahtuu sekä finanssisektorilla että julkisen hallinnon palveluissa. Julkisen hallinnon sähköisiin palveluihin kirjaudutaan Suomi.fi -tunnuksilla. Suomi.fi- tunnistautumisessa yleisin (90 %) tunnistautumisväline on vuonna 2022 ollut pankkitunnukset. Pankkitunnuksilla tunnistauduttiin vuoden 2022 aikana 171 miljoonaa kertaa Suomi.fi-palvelun kautta julkisen hallinnon sähköisiin palveluihin. 12 Samankaltaista aineistoa ei ole saatavilla yksityiseltä sektorilta liikesalaisuuksien ja tietojen laaja-alaisuuden vuoksi. Voidaan kuitenkin arvioida, että yksityisen sektorin palveluissa tunnistautumistavat ja tunnistautumismäärät noudattelevat samansuuntaisia lukuja julkisen hallinnon tilastotietoihin nähden.13 Tämän tutkimuksen aiheena olevat kysymykset liittyvät automatisoidussa luotonmyöntöprosessissa tapahtuvaan sähköiseen tunnistamiseen. Koska vahva sähköinen tunnistautuminen on edellä todetun tavoin merkittävä ja pakottavakin keino todentaa yksilön henkilöllisyys sähköisissä palveluissa, voidaan todeta tutkimuksen aiheen olevan tärkeä ja ajankohtainen niin yhteiskunnallisesti kuin talousoikeudellisestikin. Tunnistautumisen sääntely lainsäädännöllä ja viranomaisten valvonnalla vahvistaa luottolaitosten asemaa luotonmyöntäjänä. Ilman asiakkaan tunnistamista ja maksukyvyn varmistamista annettu luottopäätös voi aiheuttaa luottolaitokselle suuria luottotappioita sekä liiketoiminnan kannattomuutta. Sähköinen tunnistaminen lisää luottolaitoksen luotettavuutta sekä nopeuttaa asiakkaan tunnistamista luottopalveluissa, mikä voi osaltaan lisätä luottolaitosten asiakkaiden määrää ja siten kannattavuuden kasvua. Asiakkaalla on tunnistuslain 3 luvun 23 §:n mukaan laaja huolellisuusvelvoite koskien hänelle myönnetyn tunnistautumisvälineen säilyttämistä. Tunnistusvälinettä saatetaan käyttää oikeudettomasti, mikä on haasteellista automatisoidun luotonmyöntöprosessin näkökulmasta. Varastettua, oikeudettomasti toisen henkilön käytössä olevaa 12 Suomi.fi-palveluhallinta 10.8.2020. Onnistuneiden tunnistustapahtumien lukumäärä 1.1.2022- 12.11.2022. 13 HE 237/2020 vp, s. 4. 9 tunnistusvälinettä voidaan käyttää väärin haettaessa luottoa automatisoidussa luotonmyöntöprosessissa14. Automatisoitu luotonmyöntöprosessi saattaa olla osittain tai kokonaan automatisoitu15, mikä lisää riskiä tunnistusvälineen väärinkäytölle ja luoton saamiselle väärin perustein. Seuraavaksi esitellään tutkimuksen kohde ja tutkimuskohteeseen liittyvät aiemmat tutkimukset. Lisäksi esitellään tutkimusongelma, tutkimusmetodi sekä tutkimusaineisto. Viimeisenä jäsennellään tutkimuksen rakenne. 1.1 Tutkimuksen kohde Tutkimuksessa tutkitaan sähköisen tunnistamisen merkitystä automatisoidussa luotonmyöntöprosessissa luotonantajan riskiperusteisen arvioinnin näkökulmasta. Tunnistuslain mukaan asiakas voidaan tunnistaa sähköisesti sähköisen tunnistusvälineen avulla. Tutkimuksessa on valittu tarkasteltavaksi sähköisen tunnistamisen menetelmistä verkkopankkitunnukset. Verkkopankkitunnukset ovat jokaisen yksilön henkilökohtaiset tunnukset, joita tulee säilyttää huolellisesti muiden ulottumattomissa. Verkkopankkitunnuksia ei myöskään saa luovuttaa kenellekään16. Kuluttajariitalautakunnan mukaan kuluttajalla on suuri vastuu verkkopankkitunnusten väärinkäyttöä koskevissa luotonottotilanteissa. Mikäli kuluttaja on säilyttänyt verkkopankkitunnuksiaan törkeän huolimattomasti, tulee korvattava luottosumma kuluttajan maksettavaksi kokonaan, vaikka kuluttaja ei tosiasiallisesti ole luottoa ottanut.17 Kuluttajan vastuulle tulee maksupalvelulain 62 §:n mukaan maksettavaksi 50 euroa tapahtuneesta oikeudettomasta maksuvälineen käytöstä, mikäli maksuvälineen haltija on laiminlyönyt huolimattomuudesta velvollisuutensa säilyttää maksuväline 14 Vaasan HO tuomio nro 363, S 21/984. 15 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018. Luottoriskien hallinta rahoitussektorin valvottavissa, s. 17. 16 Fine vakuutus- ja rahoitusneuvonta, 2022. 17 Kuluttajariitalautakunta, 14.6.2019. 10 asianmukaisesti tai laiminlyönyt velvollisuutensa ilmoittaa palveluntarjoajalle maksuvälineen katoamisesta tai oikeudettomasta joutumisesta toisen haltuun. Mikäli maksuvälineen haltija on toiminut törkeän huolimattomasti tai tahallisesti, tulee maksupalvelun käyttäjän vastata maksuvälineen oikeudettomasta käytöstä itse (maksupalvelulaki 7:62 §). Tutkimusaihe on ajankohtainen automatisoinnin ja profiloinnin näkökulmasta, sillä automatisoidussa luotonmyöntöprosessissa hyödynnetään profilointia ja automaattista päätöksentekoa. Nykypäivänä automatisoitaessa eri luottopalveluita tulee pohtia, miten automatisointi saadaan tehtyä turvallisesti ja luotettavasti niin kuluttajan kuin luotonantajan kannalta. Luotonantaja saattaa kärsiä suuret imagovahingot vääränlaisen asiakkaan profiloinnin, erilaisten tietomurtojen tai verkkopankkitunnusten väärinkäytön vuoksi. Muun muassa Yle on uutisoinut verkkopankkitunnusten väärinkäytöstä liittyen S- Pankin tietomurtoon. Pankin tietojärjestelmässä olleen aukon vuoksi tekijät pääsivät käsiksi lukuisten asiakkaiden tietoihin tekemään oikeudettomia tilisiirtoja. 18 Aiemmat tutkimukset Huhtamäki on tutkinut väitöskirjassaan Luotonantajavastuu luotonantajan vastuuta taloudellisesti merkittävänä pankkitoiminnan ilmiönä juridisesta näkökulmasta. Tutkimuksessa pyritään auttamaan luotonottajia hahmottamaan omat oikeutensa ja mahdollisuutensa mahdollisten sopimusrikkomusten takia. Huhtamäki korostaa luotonantajan vastuuta luotonottajan tietoisuuden tasosta ja viittaa tällä tiedonantovelvollisuuteen. 19 Luotonantajan ja luotonottajan vastuunjakoa käsitellään tämän tutkimuksen luvussa 5. Anttila on tutkinut väitöskirjassaan Pankki, riskit ja sääntely pankkisääntelyn ja pankkiriskin vuorovaikutusta ja analysoinut kysymystä, voiko pankkien riskejä hallita sääntelyllä. Anttila uskoo pankkien riskien täydellisen hallinnan olevan sääntelyn avulla 18 Helpinen, 14.9.2022. 19 Huhtamäki, 1993, s. 18. Ks. myös Huhtamäki, 2007, Luotonantajavastuun kehityksestä Suomessa 1992– 2007. 11 vaikeaa ja toteaa, että tärkeämpää pankkiriskien hallinnassa sääntelyn sijaan ovat pankkitoiminnan kokemukset sekä yhteinen muisti.20 Vaikka kyseessä oleva tutkimus keskittyy ainoastaan kuluttajaluottoihin21 ja tutkimuksen ulkopuolelle on rajattu yritysluotot 22 , on huomionarvoista tuoda esille Välimäen väitöskirja liittyen yritysten ja pankkien välisiin rahoitussopimuksiin ja niihin liittyviin riskeihin. Välimäki on tutkinut väitöskirjassaan Kovenantit pankille aiheutuvaa rahoitusriskiä kovenanttiohjauksen kautta yritysluotoissa. Välimäen väitöskirjassa tutkitaan, miten kovenanttiohjauksessa voidaan hallita pankkien rahoitusriskejä verrattuna perinteisiin panttioikeuden keinoihin. Hyvin laaditulla rahoitussopimuksella voidaan hallita pankkien luottoriskejä. 23 Tutkimusaiheeseen liittyvää sähköistä tunnistamista on tutkittu kattavasti Ponkan väitöskirjassa Sähköinen tunnistaminen ja allekirjoitus Suomen velvoiteoikeudessa. Väitöskirjassa tutkitaan sähköisen tunnistamisen merkitystä ja vaikutusta Suomen velvoiteoikeudessa. 24 Sähköisen tunnistamisen suosituimpia tunnistusvälineitä ovat pankkien myöntämät verkkopankkitunnukset25. Sähköisen tunnistamisen ennustetaan tapahtuvan tulevaisuudessakin pankkien verkkopankkitunnusten sekä teleoperaattoreiden tarjoaman mobiilitunnistautumisen kautta. Ponka toteaa sähköisen tunnistamisen olleen menestys, vaikka lainsäädäntö saattaisikin kaivata hieman tarkennuksia. 26 20 Anttila, 1996, s. 351. 21 Kuluttajansuojalain (38/1978) 7 luvun 1 §:n mukaan kuluttajaluotto on elinkeinonharjoittajan kuluttajalle myöntämä luotto. 22 Wuolijoki, 2022, s. 139. 23 Välimäki, 2014. 24 Ponka, 2013. 25 Ponka, 2013, s. 76. 26 Ponka, 2013, s. 532–533. 12 1.2 Tutkimusongelma ja tutkimuksen rajaus Tutkimuksen tarkoituksena on selvittää sähköisen tunnistamisen ja sen eri menetelmien merkitystä automatisoidussa luotonmyöntöprosessissa. Sähköisessä tunnistamisessa eri tunnistamisvälineinä voidaan käyttää pankkien myöntämiä verkkopankkitunnuksia, teleyritysten myöntämiä mobiilivarmenteita 27 sekä kansalaisvarmenteita 28 . Tutkimuksessa tutkimuskohteena näistä tunnistamisvälineistä on verkkopankkitunnukset ja niiden avulla tehty sähköinen tunnistaminen. Verkkopankkitunnusten säilyttämiseen on aiemman todetun mukaisesti kiinnitettävä huomiota, sillä tunnukset ovat henkilökohtaisia. Joissakin tapauksissa verkkopankkitunnuksia voidaan käyttää väärin, josta aiheutuu verkkopankkitunnusten omistajalle vähintäänkin vahingonkorvausvastuu. Luotonantajan näkökulmasta tutkimuksessa otetaan huomioon luotonantajan riskiperusteinen arviointi asiakkaan tunnistamisessa. Tutkimuksessa pyritään oikeustapausten ja FINEn ratkaisujen avulla selvittämään, mikä on verkkopankkitunnusten riittävän huolellista säilyttämistä sekä mitä seuraamuksia verkkopankkitunnusten väärinkäytöstä voi aiheutua käyttäjälle ja luotonantajalle. Tutkimuskysymyksiksi muodostuu siten: Mikä on sähköisen tunnistamisen merkitys automatisoidussa luotonmyöntöprosessissa? Mihin riskit kohdistuvat automatisoidussa luotonmyöntöprosessissa luotonantajan näkökulmasta? Miten luotonantaja voi toiminnallaan ennaltaehkäistä verkkopankkitunnusten väärinkäyttöä? 27 Mobiilivarmenne sisältyy puhelimen SIM-kortin tunnisteeseen. Mobiilivarmenteella kirjaudutaan palveluun syöttämällä oma puhelinnumero internetpalveluun sekä valittu tunnusluku puhelimeen. (Mobiilivarmenne, n.d.) 28 Kansalaisvarmenne on Digi- ja väestötietoviraston myöntämä sähköinen henkilöllisyystodistus, joka sisältyy poliisin myöntämään henkilökorttiin. Henkilön yksilöintitietona varmenteessa toimii sähköinen asiointitunnus. (Digi- ja väestötietovirasto, n.d.) 13 Tutkimuksessa selvitetään ja systematisoidaan sähköisen tunnistamisen vaikutuksia automatisoituun luotonmyöntöprosessiin luotonantajan riskiperusteisen arvioinnin näkökulmasta sekä annetaan automatisoitua luotonmyöntöprosessia hyödyntävälle luottolaitokselle toimintasuosituksia verkkopankkitunnusten huolellisen säilyttämisen edistämiseksi ja väärinkäyttöjen ehkäisemiseksi. Tutkimuksessa käsitellään oikeustapausten avulla erilaisia tilanteita, joissa pohditaan vastuunkantajaa sekä vahingonkorvausvelvollista. Tutkimuksessa pohditaan, voidaanko henkilö saattaa saadusta luotosta vastuuseen huolimattomuusperusteella. Toisin sanoen, onko henkilö säilyttänyt verkkopankkitunnuksiaan riittävän huolellisesti, mikäli toinen henkilö on saanut ne käyttöönsä. 1.3 Tutkimusmenetelmä ja -aineisto Tutkimusmenetelmä on lainopillinen eli oikeusdogmaattinen. Lainoppi on Hirvosen mukaan tulkintatiede, jossa tutkitaan oikeudellisia tekstejä ja voimassa olevaa oikeutta29. Aarnio toteaa lainopin jakautuvan käytännölliseen ja teoreettiseen lainoppiin 30 . Käytännöllisellä lainopilla viitataan tulkintaan ja teoreettisella lainopilla viitataan systematisointiin. Tulkintakannanotoilla on lainopissa tarkoitus selvittää voimassa olevan oikeusnormin sisältöä. Systematisoinnissa keskeistä on Hirvosen mukaan ”tutkia ja jäsentää oikeudenalojen käsitteitä, oikeusperiaatteita ja teoreettisia rakennelmia”. 31 Oikeusdogmatiikalla ja sen sisältävällä systematisoinnilla rakennetaan Aarnion mukaan oikeudellisia teorioita, joilla jäsennetään oikeusnormeja. Oikeudellisten teorioiden muodostamisessa teoreettinen viitekehys asettaa kysymyksiä, jotka edelleen antavat vastauksia. Systematisointi edellyttää tulkintaa ja tulkinnassa puolestaan painotetaan 29 Hirvonen, 2011, s. 36. 30 Aarnio, 2006, s. 238. 31 Hirvonen, 2011, s. 25. 14 systematisointia, minkä vuoksi voidaan todeta tulkinnan ja systematisoinnin, praksiksen ja teorian, olevan vuorovaikutussuhteessa toisiinsa.32 Hirvosen mukaan lainopin tehtävänä on järjestää ja rakentaa yhtenäistä oikeusjärjestelmää voimassa olevasta oikeudesta 33 . Tässä tutkimuksessa pyritään selvittämään lainopin menetelmin sähköiseen tunnistamiseen sekä automatisoituun luotonmyöntöprosessiin liittyvän oikeussääntelyn sisältö sekä systematisoidaan voimassa olevan oikeuden sisältöä luoden tutkimuksen aiheelle teoreettista viitekehystä sekä kannanottoja voimassa olevasta oikeudesta. Tutkimuksen tutkimusaineisto koostuu ajantasaisesta lainsäädännöstä, lain esitöistä, oikeustapauksista sekä oikeuskirjallisuudesta. Keskisimmät lait tutkimuksen kannalta ovat laki luottolaitostoiminnasta (610/2014), laki varallisuusoikeudellisista oikeustoimista (228/1928), maksupalvelulaki (290/2010), kuluttajansuojalaki (38/1978), laki rahanpesun ja terrorismin rahoittamisen estämisestä (444/2017) sekä laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista (617/2009). Keskeisinä oikeuslähteinä EU-sääntelystä ovat yleinen tietosuoja-asetus, eIDAS-asetus, rahanpesudirektiivi, rahoituspalvelujen etämyyntidirektiivi sekä toinen maksupalveludirektiivi. Tutkimuksessa viitataan lisäksi korkeimman oikeuden ratkaisuihin, hovioikeuksien ratkaisuihin sekä pankkilautakunnan (FINE) ratkaisusuosituksiin. 1.4 Tutkimuksen rakenne Tutkimus koostuu kuudesta pääluvusta. Tutkimuksen ensimmäisessä luvussa perehdytetään lukija tutkimuskohteeseen, sen merkitykseen ja ajankohtaisuuteen. Tutkimuskohdetta on kuvattu myös tutkimusaiheen kannalta merkittävien aiempien väitöskirjatasoisten tutkimusten valossa. Lisäksi johdantoluvussa esitellään 32 Aarnio, 2006, s. 96–97. Myös Hirvonen, 2011, s. 25. 33 Hirvonen, 2011, s. 25. 15 tutkimusmenetelmä, tutkimusongelma sekä tutkimusaineisto ja jäsennellään tutkimuksen rakennetta. Johdantolukua seuraa tutkimuksen toinen pääluku, jossa käsitellään laaja-alaisesti luotonmyöntöprosessin oikeudellista viitekehystä. Luvussa esitetään luottosopimuksen syntymiseen liittyvää sopimusoikeudellisesta viitekehystä, sähköistä oikeustoimioppia, luoton etämyyntiin liittyvää sääntelyä, hyvää pankki- ja luotonantotapaa, Finanssivalvonnan ohjeita ja määräyksiä sekä lopuksi EU:n tietosuoja- asetuksen merkitystä tutkimuksen kannalta. Tutkimuksen kolmannessa pääluvussa käsitellään asiakkaan tuntemista ja tunnistamista automatisoidussa luotonmyöntöprosessissa sekä niiden merkitystä sähköiseen tunnistamiseen riskiperusteisesta näkökulmasta. Neljännessä pääluvussa keskitytään sähköiseen tunnistamiseen tunnistamismenetelmänä sekä siihen liittyviin riskeihin, verkkopankkitunnusten merkitykseen tunnistamismenetelmänä sekä esitetään oikeustapausten valossa verkkopankkitunnusten väärinkäytön seurauksia. Viidennessä pääluvussa käsitellään luottosopimuksen osapuolten vastuujakoa verkkopankkitunnusten väärinkäytön ehkäisemisessä ja pyritään hyödyntämään tutkimuksessa aiemmin selvitetyn tiedon merkitystä. Kuudennessa ja viimeisessä luvussa pyritään systemaattisesti kokoamaan tutkimustulokset, lainopin avulla muodostetun tulkintasuosituksen sekä antamaan luottolaitoksille toimintasuosituksia sähköisen tunnistamisen käyttämisestä ja siihen liittyvien riskien minimoimisesta automatisoidussa luotonmyöntöprosessissa. 16 2 Luotonmyöntöprosessin oikeudellinen viitekehys Rahoitusmarkkinoiden päätehtävä on Niemen mukaan välittää rahaa talouden toimijoilta toisille. Pankit lukeutuvat rahoitusta välittäviin rahoituslaitoksiin. 34 Rahoittaminen kuuluu siten pankin ydintoimintoihin. Rahoittamisella tarkoitetaan Hemmon ja Wuolijoen mukaan tilanteita, joissa sopimusosapuolten välille syntyy saamissuhde 35 . Hemmo ja Wuolijoki jaottelevat pankkien luottotyypit kuluttajaluottoihin ja yritysluottoihin. Kuluttajaluotot voidaan jakaa vielä asunto- ja opintoluottoihin sekä kulutusluottoihin. Asunto- ja opintoluottoihin liittyy erilaisia kuluttajan eduksi säädettyjä tukijärjestelmiä. Kulutusluotot jäävät näiden tukijärjestelmien ulkopuolelle. 36 Kulutusluotot jaetaan kerta- ja limiittiluottoihin. Kertaluotot ovat Wuolijoen määritelmän mukaan luottoja, jotka luotonantaja myöntää ja antaa kuluttajalle kerralla. Kertaluoton ollessa kyseessä tulee lisäluotoista sopia luottolaitoksen kanssa erikseen. Limiittiluotosta on kyse, kun kuluttajalle myönnetään pankkitiliin liittyvä luotto, jota kuluttaja voi nostaa haluamansa määrän enimmäismäärään saakka. 37 Wuolijoen mukaan kulutusluotot voidaan vielä jakaa lyhennystavan mukaan tasalyhenteisiin lainoihin, tasaeräisiin luottoihin sekä kertamaksulainoihin. 38 Luotonmyöntöprosessi yksinkertaisuudessaan tarkoittaa toimintaketjua kuluttajan luottohakemuksesta luottolaitoksen myönteiseen tai kielteiseen luottopäätökseen. Finanssivalvonnan määräysten mukaan luottohakemuksen saavuttua luottolaitoksen on laadittava kuluttajasta luottoanalyysi. Luottoanalyysi perustuu asiakkaasta saataviin tietoihin ja sillä pyritään selvittämään perusteellisesti kuluttajan kyky selviytyä 34 Niemi, 2014, s. 7–8. 35 Hemmo, 2001, s. 33 ja Wuolijoki, 2022, s. 133. 36 Hemmo, 2001, s. 41 ja Wuolijoki, 2022, s. 137. 37 Wuolijoki, 2022, s. 138. 38 Wuolijoki, 2022, s. 138. 17 luottositoumuksesta sekä kuluttajan luottokelpoisuudesta. Luottopäätöksen on perustuttava luottoanalyysiin ja se on tehtävä luotonmyöntöohjeen mukaisesti. 39 Luotonmyöntöprosessi voidaan automatisoida. Automatisoidussa luotonmyöntöprosessissa hyödynnetään automaattista päätöksentekoa. Tietosuojavaltuutetun toimiston mukaan, kun päätöksenteko perustuu pelkästään automaattiseen henkilötietojen käsittelyyn ja päätöksellä on oikeusvaikutuksia tai se vaikuttaa henkilöön merkittävästi, on kyse automaattisesta päätöksenteosta. 40 Automatisoitu luotonmyöntöprosessi tulee olla valvottu ja luoton myönnön edellytykset tulee olla kirjattuna luottolaitoksen luotonmyöntöohjeisiin.41 Seuraavaksi käsitellään luoton myöntämistä, luottosopimusprosessia, sähköistä oikeustoimioppia sekä luoton etämyyntiin liittyviä juridisia velvoitteita. Lisäksi tässä luvussa käsitellään tutkimuksen kannalta oleellista pankkitoimintaa velvoittavaa sääntelyä kuten hyvää pankki- ja luotonantotapaa, Finanssivalvonnan ohjeita ja määräyksiä sekä EU:n tietosuoja-asetusta. 2.1 Luoton myöntäminen ja luottosopimuksen syntyminen Tutkimuksessa käsitellään ainoastaan kuluttajaluottoja ja niihin liittyvää oikeussääntelyä. Kuluttajaluotolla tarkoitetaan kuluttajansuojalain 7 luvun 1 §:n mukaan ”luottoa, jonka elinkeinonharjoittaja (luotonantaja) sopimuksen mukaan myöntää tai lupaa myöntää kuluttajalle lainana, maksunlykkäyksenä tai muuna vastaavana taloudellisena järjestelynä” (KSL 7:1). Kuluttajaluoton myöntämisen voidaan katsoa alkavan luoton mainostamisesta. Luoton mainostamisessa kuluttajalle on annettava kuluttajansuojalain 7 luvun 8 §:n mukaan 39 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018, kohta 4.4.1. 40 Tietosuojavaltuutetun toimisto, 2022. 41 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018, kohta 4.4.3. 18 tiedot luoton todellisesta vuosikorosta sekä muista luottokustannuksista, luoton määrästä ja luottorajasta, luoton kestosta sekä koko luoton yhteishinnasta ja maksueristä. Ennen luottosopimuksen tekemistä luotonantaja on velvollinen luottosopimuksesta kuluttajalle annettavista tiedoista säädetyn asetuksen (89/2010) sekä kuluttajansuojalain 7 luvun 9 §:n nojalla antamaan kuluttajalle tiedot luotonantajasta, luototettavan tuotteen pääominaisuuksista, tarjottavasta luotosta kustannuksineen, luottosopimuksen rikkomisen seuraamuksista sekä kuluttajan laillisista oikeuksista käyttäen ”Vakiomuotoiset eurooppalaiset kuluttajaluottotiedot” -lomaketta42. Ennen luoton myöntämistä luottolaitos on velvollinen arvioimaan kuluttajan luottokelpoisuuden perustuen kuluttajan tulo- ja menotietoihin (KSL 7:14). Luottokelpoisuuden arviointia käsitellään jäljempänä luvussa 2.5. Luottoa hakevan kuluttajan henkilöllisyys on todennettava (KSL 7:15). Kuluttajan henkilöllisyys voidaan todentaa tunnistuslain 1 luvun 2 §:n mukaan vahvan sähköisen tunnistamisen menetelmin, jolloin henkilön yksilöiminen ja tunnisteen oikeellisuus sekä aitous vahvistetaan käyttäen sähköistä menetelmää. Luottolaitoksen on säilytettävä kuluttajan henkilöllisyyden todentamistiedot viiden vuoden ajan luoton erääntymisestä (KSL 7:16). Kuluttajansuojalain 7 luvun 16a §:n mukaan luotto voidaan myöntää kuluttajalle vain, mikäli luottokelpoisuuden arviointi niin osoittaa. Luottosopimuksen syntymiseen sovelletaan oikeustoimilain 1 luvun säännöksiä. Aurejärven ja Hemmon mukaan luottosopimus voidaan määritellä konsensuaalisopimukseksi. 43 Tieteen termipankin määritelmän mukaan konsensuaalisopimus syntyy osapuolten välillä vallitsevasta konsensuksesta. Toisin sanoen tarjous ja vastaus ovat yhtäpitäviä ja osapuolet ovat samaa mieltä sopimuksen sisällöstä. 44 Oikeustoimilain 1 luvun 1 §:n mukaan tarjous ja siihen annettu hyväksyvä vastaus sitovat sopimusosapuolet sopimukseen. Luottosopimusta koskee oikeustoimilain mukainen tarjoussidonnaisuus, mikä tarkoittaa, ettei yksipuolista 42 Ks. Valtioneuvoston asetus luottosopimuksesta kuluttajalle annettavista tiedoista (789/2010) liite 1. 43 Aurejärvi & Hemmo, 2004, s. 11. 44 Tieteen termipankki, 2022. 19 lupausta luotosta voida peruuttaa, ellei luottotarjouksessa ole peruutusvaraumaa. 45 Oikeustoimilain 1 luvun säännösten mukaan, mikäli tarjoukseen annettavalle vastaukselle on asetettu määräaika, tulee vastaus toimittaa määräajan kuluessa sen uhalla, että tarjous umpeutuu määräajan kuluttua. 46 Aurejärvi ja Hemmo muistuttavat, että luottosopimuksen syntymisessä on erotettava luotonantositoumus sekä luottolaskelmat ja -ehdotukset. Luotonantositoumus nähdään luottotarjouksena velalliselle, jolloin luotonantaja ei voi enää, ilman erillistä mainintaa peruutusoikeudesta, kieltäytyä luoton myöntämisestä. Luottolaskelmat tai -ehdotukset puolestaan ovat luotonantajalle sitomattomia, sillä ne ovat luotonmyöntämisprosessin valmisteluaineistoa. Luottolaskelmat ovat yksi luotonantajan työkaluista arvioida asiakkaan maksukykyä. 47 Aurejärven ja Hemmon mukaan poikkeuksena oikeustoimilain mukaiseen sopimuksen syntymiseen tarjous—vastausmekanismein, luottosopimus voi syntyä myös osapuolten luottoneuvottelujen perusteella. Luottosopimus syntyy yleensä siinä vaiheessa, kun sopimuksen osapuolet allekirjoittavat sopimusasiakirjan. 48 Luottosopimuksissa pääsääntöisesti käytetään Wuolijoen mukaan vakiosopimusehtoja. Erilaiset luottotyypit tarvitsevat erilaiset sopimusehdot, minkä vuoksi luottolaitoksella on käytössään erilaisia sopimus- ja ehtomalleja riippuen asiakkaasta. Yksilölliset sopimusehdot eivät myöskään ole luotonannossa poikkeus, mutta niitä käytetään enemmän yritysluototuksen puolella. Esimerkiksi kovenantteja voidaan käyttää sopimusinstrumentteina luottoyhtiön ja yrityksen välisessä luottosopimuksessa. 49 Wilhelmsson määrittelee vakioehtosopimuksen sopimukseksi, joka solmitaan joiltakin osin käyttämällä vakioehtoja eli yleisiä sopimusehtoja. Yksilöllinen sopimus on vakiosopimuksen vastakohta 50 . Hemmo toteaa vakiosopimusehtojen olevan eri 45 Aurejärvi & Hemmo, 2004, s. 12 46 Ks. Laki varallisuusoikeudellisista oikeustoimista 13.6.1929/228, 1 luvun 2–3 §. 47 Aurejärvi & Hemmo, 2004, s. 12. 48 Aurejärvi & Hemmo, 2004, s. 13. 49 Wuolijoki, 2022, s. 148. Ks. kovenanteista väitöskirja: Välimäki 2014. Kovenantit – rahoitussopimuksen kovenanttiohjaus. 50 Wilhelmsson, 2008, s. 35. 20 sopimussuhteisiin laadittava sopimusehtokokoelma 51 . Vakioehtojen käyttö vähentää kustannuksia ja asettaa elinkeinonharjoittajat tasavertaisempaan asemaan52. Luottosopimus on tehtävä kuluttajansuojalain 7 luvun 17 §:n mukaan kirjallisesti siten, että sekä luotonantaja että luotonottaja saavat luottosopimuksesta omat kappaleensa. Luottosopimus voidaan tehdä myös sähköisesti (KSL 7:17). Kuluttajansuojalain 7 luvun 17 §:n 2 momentin mukaan luottosopimuksesta on ilmettävä luottosopimuksen osapuolten tiedot, vakiomuotoiset eurooppalaiset kuluttajaluottotiedot, sekä luottosopimuksen mahdolliset muut ehdot. Lisäksi luottosopimuksessa on annettava tiedot luoton peruuttamisoikeudesta, irtisanomisesta ja oikeussuojasta sekä valvontaviranomaisesta. Luottosopimus on Aurejärven ja Hemmon mukaan määrämuotoinen oikeustoimi 53 , joka ilmenee kuluttajansuojalain 7 luvun 17 §:n 3 momentin säännöksestä. Säännöksen mukaan luotonantaja ei saa periä luottosuhteen perusteella korkoa tai muita maksuja, mikäli niistä ei ole sovittu kirjallisessa luottosopimuksessa (KSL 7:17.3). 2.2 Luottosopimuksen syntyminen sähköisen allekirjoituksen avulla Perinteisen oikeustoimiopin käsitteisiin kuuluvat tahdonilmaisu, oikeustoimi ja sopimus 54 . Wuolijoen ja Hemmon mukaan luottosopimuksen syntymisessä ei aina tunnisteta yksipuolisesti sitovia tahdonilmaisuja, vaan luottosopimus voi käytännössä syntyä neuvottelujen perusteella, jolloin sopimuksen sitovuus alkaa vasta allekirjoituksesta55 . Tahdonilmaisun tunnistaminen sähköisessä ympäristössä voi olla haastavaa. Tahto oikeustoimen tekemiseen ja sen ilmaisu voidaan määritellä Ponkan mukaan tahdonilmaisuksi. Tahdonilmaisu katsotaan oikeustoimeksi, mikäli 51 Hemmo, 2003, s. 148. 52 Hemmo, 2003. s. 145. 53 Aurejärvi & Hemmo, 2004, s. 15. 54 Ponka, 2013, s. 232. Ks. myös Hemmo & Hoppu 2022, luku 6. 55 Wuolijoki & Hemmo, 2013, s. 103. 21 tahdonilmaisu sisältää henkilön tahdon tulla oikeudellisesti sidotuksi tahdonilmaisun sisällön osoittamalla tavalla. Kaksi tahdonilmaisua muodostaa sopimuksen. 56 Sähköisessä oikeustoimiopissa keskeisiä käsitteitä tahdonilmaisun esittämisessä ovat vahva sähköinen tunnistaminen ja sähköinen allekirjoitus, joka vaatii hallituksen esityksen (HE 36/2009 vp) mukaisesti allekirjoittajan henkilöllisyyden todentamisen57. Tunnistuslain 3 luvun 14 §:n mukaan tunnistusvälineellä voidaan tehdä sähköisiä allekirjoituksia ja kehittyneitä sähköisiä allekirjoituksia. eIDAS-asetuksen (Neuvoston asetus (EU) 910/2014) 58 3 artiklan 10 kohdan mukaan sähköisellä allekirjoituksella tarkoitetaan ”sähköisessä muodossa olevaa tietoa, joka on liitetty muuhun sähköisessä muodossa olevaan tietoon, ja jota allekirjoittaja käyttää allekirjoittamiseen”. eIDAS- asetuksen 26 artiklan mukaan kehittyneen sähköisen allekirjoituksen kriteerinä on muun muassa se, että sähköinen allekirjoitus voidaan liittää yksilöidysti allekirjoittajaansa ja sähköinen allekirjoitus on luotu sähköisen allekirjoituksen luomistiedoilla 59 . Näiden kriteereiden täyttyessä voidaan varmistua siitä, että vain allekirjoittajalla on allekirjoituksen luomiseen vaadittavat luomistiedot. Tunnistuslain 40 § sääntelee vastuunjakoa sähköisen allekirjoituksen oikeudettomasta käytöstä ja sen soveltamisalaan kuuluvat ”hyväksytyllä varmenteella varmennetut kehittyneet sähköiset allekirjoitukset ja sähköiset leimat”60. Sähköisen allekirjoituksen hyväksytyllä varmenteella puolestaan tarkoitetaan eIDAS-asetuksen 3 artiklan 14 kohdan mukaan luottamuspalvelun tarjoajan myöntämää sähköisen allekirjoituksen varmennetta. Verkossa tehtävissä oikeustoimissa hyödynnetään sekä vahvaa sähköistä tunnistamista että hyväksytyllä varmenteella varmennettua kehittynyttä sähköistä allekirjoitusta. Vahvan sähköisen tunnistamisen ei tarvitse perustua varmenteeseen, mutta hyväksytyllä varmenteella varmennetun kehittyneen sähköisen allekirjoituksen 56 Ponka, 2013, s. 233. 57 HE 36/2009 vp., s. 42. 58 EUVL N:o L 257, 28.8.2014, s. 73–114. 59 Sähköisen allekirjoituksen luontitiedoilla tarkoitetaan ”yksilöiviä tietoja, joita allekirjoittaja käyttää sähköisen allekirjoituksen luomiseen” (eIDAS-asetus artikla 3 kohta 13). 60 Hoffrén, 21.6.2021. 22 tulee perustua varmenteeseen. Hoffrénin mukaan esimerkiksi Digi- ja väestötietoviraston myöntämällä kansalaisvarmenteella voidaan tehdä tunnistuslain 40 §:n mukainen sähköinen allekirjoitus.61 Ponka määrittelee sähköisen oikeustoimen kriteereiksi allekirjoitukseen sisältyvän linkin toiseen sähköiseen tietoon, kuten sähköiseen sopimuksen sisällön sisältävään dokumenttiin, sekä osapuolen tahdonilmaisun. Sähköisen allekirjoituksen liittäminen toiseen sähköiseen tietoon on pitkälti ongelmatonta. Perinteisessä oikeustoimiopissa tahto oikeustoimen tekemiseen voidaan ilmasta allekirjoittamalla oikeustoimen ehdot sisältävä asiakirja.62 eIDAS-asetuksen (Neuvoston asetus (EU) 910/201463) 25 artiklan mukaan hyväksytty sähköinen allekirjoitus synnyttää samanlaiset oikeusvaikutukset kuin perinteinen käsin kirjoitettu allekirjoitus. Jäljempänä tutkimuksessa käsiteltävä vahva sähköinen tunnistaminen tehdään aina tunnistusvälineellä ja sähköinen allekirjoitus tehdään allekirjoituksen luomisvälineellä. Mikäli tunnistusväline liitetään toiseen sähköiseen tietoon, kyse on sellaisesta luomisvälineestä, jonka avulla voi tehdä sähköisiä allekirjoituksia. 64 Alla olevassa kuviossa 1 on kuvattu vahvan sähköisen tunnistamisen ja sähköisen allekirjoituksen vaikutusta luotonmyöntöprosessissa. 61 Hoffrén, 21.6.2021. 62 Ponka, 2013, s. 243. 63 EUVL N:o L 257, 28.8.2014, s. 73–114. 64 Ponka, 2013, s. 271. 23 Kuvio 1. Vahva Sähköinen tunnistaminen ja sähköinen allekirjoitus luotonmyöntöprosessissa65. Tunnistusvälineellä kuviossa tarkoitetaan verkkopankkitunnuksia, joilla tunnistaudutaan vahvan sähköisen tunnistamisen avulla luottolaitoksen verkkopankkipalveluihin luoton hakemista tai luottosopimuksen hyväksymistä varten 66 . Muulla sähköisellä tiedolla tarkoitetaan kuviossa luottosopimuksen ehtoja sisältävää dokumenttia, joka muodostaa tunnistusvälineeseen linkitettynä sähköisen allekirjoituksen luomisvälineen. Sähköisellä allekirjoituksella allekirjoitettu luottosopimus synnyttää sähköisen oikeustoimen ja osapuolia sitovan luottosopimuksen. 2.3 Luottopalvelujen etämyynti Automatisoitu luotonmyöntöprosessi tapahtuu etäviestimen välityksellä. Luottopalvelujen etämyynnistä säädetään kuluttajansuojalain 6a luvussa pakottavasti kuluttajan hyväksi. Etämyynnillä tarkoitetaan kuluttajansuojalain 6a luvun 4 §:n mukaan elinkeinonharjoittajan etäviestimen, kuten puhelimen tai tietoverkon, avulla tarjoamaa rahoituspalvelua kuluttajalle, siten, että sopimus rahoituspalvelusta laaditaan 65 Mukaillen Ponka, 2013, s. 271. 66 Kuten esimerkiksi KKO 2016:73 ja THO 2019:8 tapauksissa oli tehty. Tunnistus- väline Vahva sähköinen tunnistaminen + muu sähköinen tieto Sähköinen allekirjoitus Sähköinen oikeustoimi 24 etäviestimen välityksellä. Etämyynnissä sopimusosapuolten ei tarvitse olla sopimuksentekohetkellä yhtäaikaisesti läsnä (KSL 6a:4). Elinkeinonharjoittajalla on tiedonantovelvollisuus ennen rahoitussopimuksen tekemistä. Elinkeinonharjoittajan tulee antaa hyvissä ajoin ennen sopimuksen tekemistä kuluttajalle tiedot elinkeinonharjoittajasta, kyseessä olevasta rahoituspalvelusta, etäsopimuksesta sekä oikeussuojakeinoista (KSL 6a:5). Huolimatta siitä, millä etäviestimellä rahoitussopimusta ollaan laatimassa, tulee elinkeinonharjoittajan antaa edellä mainitut tiedot selkeästi ja ymmärrettävästi sekä ilmaista tietojen kaupallinen tarkoitus (KSL 6a:5). Kuluttajansuojalain 6a luvun 11 §:n mukaan ennakkotiedot ja sopimusehdot tulee toimittaa kuluttajalle kirjallisesti tai muulla pysyvällä tavalla ennen kuin tarjous tai etäsopimus sitoo kuluttajaa67. Tiedonantovelvollisuus voidaan täyttää esimerkiksi siten, että henkilökohtainen verkkopankkipalvelu ohjaa kuluttajan tallentamaan ja tulostamaan luottosopimuksen sopimusehdot sekä elinkeinonharjoittajan antamat ennakkotiedot68. Hallituksen esityksen (HE 122/2004 vp) mukaan sopimusehdot ja ennakkotiedot voidaan antaa kuluttajalle tiedoksi myös lähettämällä ne sähköpostitse69. Mikäli rahoituspalvelua ja sitä koskevaa sopimusta ollaan tekemässä puhelimen välityksellä, tulee kuluttajalle antaa heti puhelun alussa tiedot elinkeinonharjoittajan nimestä, kuluttajan kanssa asioivan henkilön nimestä sekä puhelun kaupallisesta tarkoituksesta (KSL 6a:10). Kuluttajan suostumuksella puhelinmyynnissä ei ole välttämätöntä antaa kaikkia kuluttajansuojalain 6a luvun 6–9 §:ssä säädettyjä tietoja. Kuluttajalle on kuitenkin kerrottava olennaisimmat tiedot soittajasta, rahoituspalvelun pääominaisuuksista kuluineen sekä kuluttajan peruuttamisoikeudesta Kuluttajalle on myös ilmoitettava, että hänen on mahdollista saada lisätietoja rahoituspalvelusta. (KSL 6a:10.) Vaikka etämyynti tapahtuu puhelimen välityksellä, on kuluttajalle toimitettava aiemmin tässä luvussa mainitut ennakkotiedot ja sopimusehdot kirjallisesti ennen 67 Myös Niemi, 2004, s. 64. 68 Niemi, 2004, s. 64–65. Ks. myös HE 122/2004 vp, s.24. 69 HE 122/2004 vp, s.24. 25 sopimuksen tekemistä. Poikkeustilanteissa70 näitä tietoja ei ole välttämätöntä toimittaa kuluttajalle ennen sopimuksen tekemistä. Hallituksen esityksen (HE 122/2004 vp) mukaan, mikäli etäsopimus tehdään ”kuluttajan pyynnöstä sellaista etäviestintä käyttäen, että ennakkotietojen ja sopimusehtojen antaminen pysyvällä tavalla ei ole teknisesti mahdollista ennen sopimuksen tekemistä”, tulee ennakkotiedot ja sopimusehdot antaa kuluttajalle viipymättä sopimuksen teon jälkeen pysyvällä tavalla (KSL 6a:11). Elinkeinonharjoittajan tulee toimittaa kohtuullisessa ajassa, kuitenkin viimeistään ennen kuin palvelu aloitetaan, etämyyntisopimuksen tekemisestä vahvistus tehdystä sopimuksesta kuluttajalle pysyvällä tavalla. Vahvistuksesta on käytävä ilmi kaikki ennakkotiedot sekä peruuttamislomake ja -ohje. (KSL 6:13.) Kuluttajalla on kuluttajansuojalain 6a luvun 12 §:n edellyttämällä tavalla oikeus peruuttaa etämyynnissä tehty sopimus. Peruuttamisaika on 14 kalenteripäivää sopimuksen tekopäivästä tai siitä päivästä lähtien, kun kuluttaja on saanut ennakkotiedot ja sopimusehdot tiedoksi pysyvällä tavalla. Peruuttamisilmoituksen jälkeen kuluttajalla on 30 päivää aikaa palauttaa elinkeinonharjoittajalle saadut maksut uhalla, että peruuttaminen raukeaa, ellei maksuja ole palautettu (KSL 6a:16). 2.4 Hyvä pankki- ja luotonantotapa Luottolaitoksen on luottolaitoslain 15 luvun 1 §:n mukaan noudatettava hyvää pankkitapaa. Wuolijoen mukaan hyvän pankkitavan velvoite ulottuu pankin kaikkiin asiakasryhmiin. Hyvän pankkitavan yksityiskohtainen määrittely on mahdotonta, sillä kyseessä on yleissäännös. 71 Hallituksen esityksen (HE 29/2014 vp) mukaan hyvää pankkitapaa ei ole ollut tarkoitus määritellä luottolaitoslaissa tarkasti, sillä 70 Esimerkiksi tilanteessa, jossa kuluttaja haluaa vahinkovakuutussopimuksen heti voimaan (HE 122/2004 vp, s. 25). 71 Wuolijoki, 2022, s. 97. Hyvä pankkitapa ja pankin yhteiskuntavastuu eroavat toistaan. Hyvällä pankkitavalla viitataan oikeudelliseen velvoitteeseen ja yhteiskuntavastuulla eettisluonteisiin velvoitteisiin. 26 käsitettä ”hyvä pankkitapa” on tarpeen tullen tulkittava eri tavoin eri finanssipalveluissa. Lähtökohta hyvän pankkitavan tulkitsemiselle on alalla yleisesti tunnettujen vakiintuneiden käytäntöjen noudattaminen sekä niistä poikkeaminen.72 Finanssiala ry (ent. Finanssialan Keskusliitto) on laatinut vuonna 2015 päivitetyt hyvän pankkitavan toimintaohjeet, jotka ovat keskeisessä asemassa määriteltäessä hyvää pankkitapaa. 73 Hyvän pankkitavan ohje koostuu yhdestätoista eri kohdasta. Tutkimuksen kannalta merkittävimmät kohdat ovat asiakassuhdetta, asiakkaan tuntemista, pankkisalaisuutta, peruspankkipalveluita, palveluiden sopimista, maksupalveluita ja luottopalveluita koskevat kohdat. Hyvän pankkitavan ohjeiden toinen kohta korostaa pankin ja asiakkaan välistä rehellistä ja luottamuksellista asiakassuhdetta. Pankkien tulee huomioida asiakkaan etu kaikessa liiketoiminnassa. 74 Tätä velvoitetta voidaan Wuolijoen mielestä rinnastaa sopimusoikeudessa tunnettuun lojaliteettiperiaatteeseen. 75 Lojaliteettiperiaate, toisin sanoen lojaliteettivelvollisuus, velvoittaa sopimusosapuolet ottamaan vastapuolen edut kohtuullisissa määrin huomioon. Lojaliteettivelvollisuuden nojalla osapuolilla on velvollisuus huolehtia vastapuolen riittävästä tiedon määrästä sekä informoida tätä sellaisista seikoista, jotka ovat vastapuolen edun mukaisia. 76 Asiakkaan tuntemista koskeva hyvän pankkitavan ohje käsittelee pankin lakiin perustuvaa velvollisuutta tuntea asiakkaansa. Pankin tulee hyvän pankkitavan ohjeen mukaan kerätä asiakkaasta tarvittavat ja riittävät tiedot kuten asiakkaan taloudellisesta tilanteesta ja pankkipalveluiden käytöstä. Lisäksi pankin on todennettava asiakkaansa henkilöllisyys.77 Asiakkaan tuntemista käsitellään jäljempänä tutkimuksen luvussa kolme. 72 ks. HE 39/2014 vp, s. 82. Myös Wuolijoki, 2022, s. 97. 73 Finanssiala ry, 18.11.2015. Hyvä pankkitapa -ohje. Myös Wuolijoki, 2022, s. 97. 74 Finanssiala ry, 18.11.2015. Hyvä pankkitapa -ohje, kohta 2. 75 Wuolijoki, 2022, s. 98. 76 Karttunen ja muut, 2015, s. 188. Lojaliteettivelvollisuudesta ks. Taxell, 1977, s. 149: ”part är inom vissa gränder skyldig att beakta sin motparts rätt och intresse”. Myös Muukkonen, 1993, s. 1046 toteaa lojaliteettivaatimuksella tarkoitettavan sopimusosapuolen velvollisuutta ”ottaa huomioon toisen sopijapuolen intressi ja myös valvoa sitä”. Vielä Häyhä, 1996, s. 314: toteaa mm., että lojaliteettiperiaatteen mukaisesti sopimusosapuolilla on sopimusehdot ylittäviä velvoitteita toisiaan kohtaan, jolloin sopimusta on tulkittava ”osapuolten yhteisen tavoitteen sävyttämänä oikeussuhteena”. 77 Finanssiala ry, 18.11.2015. Hyvä pankkitapa -ohje, kohta 3. 27 Hyvän pankkitavan ohje pankkisalaisuudesta kytkeytyy tutkimukseen yleisen tietosuoja- asetuksen (Neuvoston asetus (EU) 2016/67978) nojalla. Yleinen tietosuoja-asetus on asettanut vaatimuksia henkilötietojen käsittelyyn liittyen, minkä vuoksi pankki ei saa luovuttaa asiakkaan tietoja muille kuin asiakkaalle itselleen, ellei sillä ole asiakkaan lupaa luovuttaa tietoja kolmannelle osapuolelle. 79 Ohje peruspankkipalveluiden tarjoamisesta velvoittaa pankkia tarjoamaan peruspankkipalveluita kuluttajille luottolaitoslain edellyttämällä tavalla80. Hyvän pankkitavan ohjeen mukaan asiakkaan ja pankin välisestä sopimuksesta tulee laatia todennettavissa olevat asiakirjat. Sopimuksesta on ilmettävä sovellettavat sopimusehdot, joissa on kerrottuna osapuolten oikeudet ja velvollisuudet. 81 Pankin tulee huolehtia siitä, että asiakas perehdytetään riittävästi tälle myönnettyihin maksuvälineisiin ja niiden huolelliseen säilyttämiseen82. Tunnistuslain mukaan asiakas saattaa itse joutua korvaamaan maksuvälineen huolimattomasta säilyttämisestä aiheutuneen vahingon (tunnistuslaki 3:27). Tutkimuksen kannalta keskeisin hyvän pankkitavan ohje asiakkaan tuntemisen rinnalla on ohje luottopalveluiden tarjoamisesta. Pankin tulee arvioida luottoa myöntäessä käytettävissään olevilla tiedoilla huolellisesti asiakkaan luottokelpoisuus sekä mahdollisesti pyytää asiakkaalta vakuuksia luoton myöntämisen ehtona. Hyvän pankkitavan ohjeen mukaan pankin tulee toimia vastuullisesti luottosuhteessa ja ottaa asiakkaan taloudellinen turvallisuus huomioon.83 Luottolaitosta sitoo luottolaitoslain mukaisen hyvän pankkitavan lisäksi kuluttajansuojalain mukainen hyvä luotonantotapa. Molemmissa oikeusohjeissa pääasiallinen tarkoitus on varmistaa, että luottolaitos ja siten luotonantaja menettelee toiminnassaan vastuullisesti, lojaliteettivelvollisuuden ja asiakkaan edun mukaisesti. 78 EUVL N:o L 119, 4.5.2016, s. 1–88. 79 Finanssiala ry, 18.11.2015. Hyvä pankkitapa -ohje, kohta 4. 80 Finanssiala ry, 18.11.2015. Hyvä pankkitapa -ohje, kohta 5. 81 Finanssiala ry, 18.11.2015. Hyvä pankkitapa -ohje, kohta 6. 82 Finanssiala ry, 18.11.2015. Hyvä pankkitapa -ohje, kohta 7. 83 Finanssiala ry, 18.11.2015. Hyvä pankkitapa -ohje, kohta 8. 28 Hyvä luotonantotapa edellyttää kuluttajansuojalain 7 luvun 13 §:n mukaisesti luotoantajan menettelevän vastuullisesti 84 . Luotonantajan on kiellettyä markkinoida luottoa niin, että se heikentää kuluttajan kykyä ottaa luotto huolellisesti sekä siten, että luoton myöntäminen on pääasiallinen markkinointikeino muita kulutushyödykkeitä markkinoitaessa (KSL 7:13.2). Luotonantaja ei myöskään saa kuluttajansuojalain 7 luvun 13 §:n 2 momentin 3 kohdan mukaan käyttää markkinoinnissa, luoton myöntämisprosessissa tai muussa luottoon liittyvässä asioinnissa lisämaksullisia viestipalveluita. Kuluttajansuojalain 7 luvun 13 §:n 2 momentin 4–5 kohdan mukaan luotonantajan on annettava ennen luottosopimuksen syntymistä kuluttajalle riittävä selvitys luoton soveltumisesta kuluttajan tarpeisiin ja taloudelliseen tilanteeseen nähden sekä informoida kuluttajaa luoton lisäpalveluiden irtisanomisesta. Luotonantajan on lisäksi annettava tietoa ja neuvoa maksukyvyttömyystilanteiden syntymisestä, ehkäisemisestä ja hoitamisesta. (KSL 7:13.2). Luottolaitoslain 15 luvun 3 §:n mukaan luottosopimuksessa ei saa olla luottolaitoksen toimintaan kuulumatonta tai kuluttajan kannalta kohtuutonta sopimusehtoa. Tällainen kielletty sopimusehto on määritelty kuluttajansuojalaissa. Kuluttajansuojalain 7 luvun 13a § kieltää luotonantajaa käyttämästä kytkykauppaa: ”Luottotarjouksen ehtona ei saa olla, että kuluttaja tekee sopimuksen toisesta rahoituspalvelusta tai muusta palvelusta tai rahoitusvälineestä, jonka tarjoaa luotonantaja itse tai muu elinkeinonharjoittaja luotonantajan kanssa tekemänsä sopimuksen tai muun järjestelyn perusteella.” (KuluttajansuojaL 38/1978, 7 luku 13a §) Hallituksen esityksen (HE 77/2016 vp) mukaan Suomessa yhdistetyt tarjoukset ovat sallittuja, mutta kytkykauppa on kielletty. Hallituksen esityksen (HE 77/2016 vp) mukaan luottosopimusta ei saa tarjota kuluttajalle yhdessä toisen finanssituotteen kanssa 84 Niemi, 2013, s. 835. Niemen mukaan vastuullisuus on yrityksen tahtoa toimia oikein. Vastuullisen toiminnan perustana voidaan pitää lainsäädännön ja hyvän pankki- ja luotonantotavan noudattamista sekä luottamuksellisuuden korostamista asiakassuhteissa. Vastuullisen menettelyn tarkoituksena on ennaltaehkäistä taloudellisia haasteita. Vastuullisesti toimiminen voidaan siis nähdä molempia sopimusosapuolien etujen mukaisena toimintana. 29 sellaisella ehdolla, että kuluttajalla ei ole mahdollisuutta saada luottoa ilman, että ostaisi myös kyseessä olevan toisen finanssituotteen. 85 Kytkykaupan kielto tarkoittaa Wuolijoen mukaan sitä, että kuluttajaluotto ei saa olla ehdollinen jonkin muun sopimuksen tekemiselle. Wuolijoki antaa maksuliikennepalvelun esimerkkinä kielletyn kytkykaupan kohteesta. Luotonantaja voi kuitenkin kuluttajansuojalain 7 luvun 13a §:stä huolimatta edellyttää kuluttajalta sellaisia sopimuksia tai palveluita, joilla on luotonmyönnössä olennainen riskinhallintaperuste.86 Tällainen luotonmyöntöön liittyvä riskinhallintaperusteinen sopimus voi hallituksen esityksen (HE 77/2016 vp) mukaan olla vakuutussopimus. Luotonantaja ei kuitenkaan saa määrittää, mistä vakuutusyhtiöstä vakuutussopimus otetaan. Mikäli luottotarjouksen ehtona on, että vakuutussopimus tulee ottaa luotonantajan kanssa samaan konserniin kuuluvan vakuutusyhtiön kanssa, olisi kyseessä kytkykaupan kiellon alle sijoittuva sopimusehto.87 2.5 Finanssivalvonnan ohjeet ja määräykset Finanssivalvonnalla (FIVA) on oikeus antaa luottolaitoslain 9 luvun 24 §:n mukaan eräitä määräyksiä luottoriskien arviointimenetelmistä, luotto- ja vastapuoliriskeistä, markkinariskeistä, operatiivisista riskeistä, maksuvalmiusriskeistä sekä palauttamissuunnitelmasta. Finanssivalvonnan määräykset ja ohjeet 4/2018 luottoriskien hallinta ja luottokelpoisuuden arviointi rahoitussektorin valvottavissa (FIVA 10/01.00/2020) tarkoituksena on varmistaa, että luottolaitoksilla on riittävät valmiudet tunnistaa, mitata, rajoittaa, seurata sekä valvoa luottoriskejä.88 Lisäksi tarkoituksena on varmistaa, etteivät luottolaitokset ota luottolaitoksen kannattavuutta tai vakavaraisuutta vaarantavia luottoriskejä. 85 HE 77/2016 vp, s. 28. Yhdistetty tarjous tarkoittaa esimerkiksi lainatarjousta, jonka sopimusehtoja on alempi lainan marginaali, mikäli luotonottaja ostaa luoton oston yhteydessä toisen rahoituspalvelun luotonantajalta. 86 Wuolijoki, 2022, s. 216. 87 HE 77/2016 vp. s. 37. 88 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018. Luottoriskien hallinta ja luottokelpoisuuden arviointi rahoitussektorin valvottavissa. FIVA 10/01.00/2020. 30 Luottoanalyysi Luottolaitoslain 9 luvun 1 §:n 1 momentin mukaan luottolaitos ei saa ottaa sellaista riskiä, joka aiheuttaa luottolaitoksen vakavaraisuudelle tai kannattavuudelle vaaraa. Luottolaitoksella onkin oltava kattavat strategiset menettelytavat tämän estämiseksi (LLL 9:1.1). Luotonmyöntämisen on perustuttava ”terveisiin ja selkeästi määriteltyihin perusteisiin” (LLL 9:10.1). Finanssivalvonnan määräyksen mukaan luottopäätöksen on perustuttava kattavaan luottoanalyysiin asiakkaasta. Luottoanalyysistä on ilmettävä riittävä kokonaiskuva asiakkaasta, asiakkaan luottokelpoisuudesta sekä haettavasta luotosta.89 Luottokelpoisuuden arviointi Luottokelpoisuuden arvioinnissa on arvioitava kuluttajan tulojen, menojen ja muiden taloudellisten olosuhteiden tarpeellisten luottotietorekisteristä saatavien tietojen perusteella (KSL 7a:11). Luottolaitoksen tulee arvioida asiakkaan luottokelpoisuus riittävällä tarkkuudella riittäviin perustietoihin perustuen. Luottokelpoisuuden arvioinnissa käytettävät asiakirjat on dokumentoitava.90 Finanssivalvonnan määräyksen mukaan luottopäätöksissä on kiinnitettävä huomiota asiakkaan entiseen, nykyiseen ja tulevaan takaisinmaksukykyyn huomioiden asiakkaan varat ja velat, luoton käyttötarkoitukseen ja takaisinmaksuun, asiakkaan hankkeen rahoitussuunnitelmaan, vakuuden lajiin ja realisoitavuuteen, luoton lyhennysten hoitamiseen, taloudellisten olosuhteiden muutoksen arviointiin ja mahdolliseen asiakaskokonaisuuteen sekä luottostrategian ja luottopäätöksen väliseen suhteeseen. 91 Luottoa ei tule Finanssivalvonnan määräyksen mukaan myöntää, mikäli asiakas todetaan luottokelvottomaksi eikä asiakkaalla ole mahdollisuutta maksaa luottoa takaisin muulla tavalla kuin vakuuden realisoinnilla. Luottolaitoksen päädyttyä ratkaisuun, jossa luoton 89 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018, s. 14. 90 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018, s.14. 91 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018, s.14. Asiakaskokonaisuudella FIVA viittaa tilanteeseen, jossa vastapuolten välillä valitsee liikesuhteista aiheutuva riippuvuus. 31 takaisinmaksu hoidetaan vakuuden realisoinnilla, tulee luottolaitoksen varmistua luoton takaisinmaksusta seuraamalla vakuuden tuotto- ja markkina-arvon kehitystä.92 Luottolaitoksen luotonmyöntöohje Luottolaitoslain 9 luvun 10 §:n 1 momentin mukaan luottolaitoksen on dokumentoitava selkeät toimintaperiaatteet ja menettelytavat luottojen myöntämisestä, luottoehtojen muuttamisesta, uudistamisesta ja uudelleen rahoittamisesta. Luottolaitoksen on tehtävä luottopäätökset Finanssivalvonnan määräyksen mukaan kirjallisen luotonmyöntöohjeen mukaisesti ja koko prosessi tulee olla asianmukaisesti dokumentoitu. Luottopäätöksestä on käytävä ilmi luottoehdotuksen ja luottopäätöksen sisältö ajankohtineen, luottopäätöksen ratkaisu sekä luottopäätöksen ratkaisijoiden nimet. Asiakkaan toimitettua tarvittavat asiakirjat luottolaitokselle, voidaan luotto maksaa asiakkaalle. 93 Automatisoitu luotonmyöntöprosessi Luottolaitos voi automatisoida osan luotonmyöntöprosessista tai koko luotonmyöntöprosessin. Luottolaitoksen on tällöin varmistettava, että luottoriskien hallinnasta säädettyjä oikeusohjeita noudatetaan automatisoidussa luotonmyöntöprosessissa. Luottolaitoksen tulee dokumentoida automatisoidun luotonmyöntöprosessin kautta myönnettyjen luottojen asiakirjat.94 Luottolaitoksen on kirjattava luotonmyöntöohjeisiinsa ne luottotuotteet ja kohderyhmät, jotka ovat automatisoidussa luotonmyöntöprosessissa. Myönnettävän luoton määrä automatisoidussa luotonmyöntöprosessissa määräytyy automatisointiasteen mukaisesti. Mikäli koko luotonmyöntöprosessi on automatisoitu, on luoton määrän oltava pieni ja luoton vähäriskinen. 95 92 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018, s.17. Luottolaitoksen on dokumentoitava menettelytavat eri vakuutusmuotojen hyväksymiseen, niiden seurantaan ja arvostamiseen sekä riskikeskittymien tunnistamiseen. 93 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018, s.17. 94 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018, s.18–19. 95 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018, s.18. 32 Luottoanalyysi, luottoehdotus sekä luottopäätös voivat kaikki olla automatisoituja prosesseja luottolaitoksessa. Luottolaitoksen on kirjattava toimintaa kuvaaviin dokumentteihin luottoanalyysiin käytettävät lähteet, analysoitavat asiat, luottoanalyysin sisältö sekä tarkistukset. Lisäksi luottoesityksen valmistelusta tulee olla toiminnan kuvaavissa dokumenteissa automatisoitua luottoesitysprosessia varten säännöt, luottoehdotuksen perusteet, sisältö ja vaihtoehdot. Automatisoidun luottopäätöksen edellytykset tulee ilmetä luotonmyöntöohjeista. Luottolaitoksen on määriteltävä yksityiskohtaisesti enimmäisrajat luoton määrälle ja sen riskille. Luotonmyöntöohjeista tulee ilmettävä, kenellä on valtuus myöntää luottopäätös automatisoitujen luottojen osalta, mikäli luottopäätöstä ei ole automatisoitu tai sen edellytyksen eivät ole täyttyneet. 96 Tutkimuksen kannalta merkityksellinen seikka Finanssivalvonnan määräyksessä on määräyksen kohta nro 63. Luottolaitoksella tulee olla käytössään automatisoidun luotonmyöntöprosessin tueksi luoton myöntämisen estojärjestelmä. Estojärjestelmän tarkoituksena on estää luoton myöntäminen, mikäli se ylittää automatisoidulle luotonmyönnölle asetetut enimmäisrajat. 97 Luottoriski ja -hallinta Luottolaitoslaki velvoittaa luottolaitoksen arvioimaan luotto- ja vastapuoliriskejä. Luottolaitoksella on oltava toiminnan laatuun ja laajuuteen sekä monimuotoisuuden kannalta riittävät arviointimenetelmät näiden riskien mittaamiseen (LLL 9:9). Riskien mittaamisessa on huomioitava erilaisten luottolaitoksen saamisten erityispiirteet sekä saamisten sopimusehdot, saadut vakuudet, asiakkaan maksukyky ja maksukyvyttömyys sekä mahdolliset markkinoilla tapahtuvat saamisten arvoon vaikuttavat muutokset98. Luottolaitoksen riskiluokitusjärjestelmän on oltava asiakkaan luottokelpoisuuden ja maksukyvyn muutokset huomioiva. Riskiluokitusjärjestelmässä tulee olla riittävästi 96 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018, s. 19. 97 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018, s. 19. 98 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018, s. 20. 33 riskiluokkia erottelemaan eritasoiset luottoriskit. Luokituspäätöksen tulee olla riippumaton toiminto itse luotonmyöntöprosessista. Riskiluokitusjärjestelmä tulee heijastaa luottoriskin muutoksia, sillä sen avulla luottolaitoksen on seurattava luottosalkkunsa laatua. Luottolaitoksella on oltava sellaiset tietojärjestelmät ja menetelmät, joiden avulla ylin johto saa riittävän luotettavaa, yksityiskohtaista ja ajantasaista tieto luottosalkun tilanteesta.99 Luottolaitoksen on seurattava luottoriskejä jatkuvasti ja tehokkaasti (LLL 9:10.3). Luottolaitoksen ylimmän johdon tulee varmistaa luottoriskiä aiheuttavan toiminnan (kuten luotonmyönnön) riittävästä hajauttamisesta. Lisäksi luottolaitoksen tulee tunnistaa epäsuorat riskit ja huomioida näiden riskien mahdollisesti aiheuttamat vahingot luottolaitoksen palveluiden hinnoittelussa sekä omien varojen riittävyyden määrittelyssä.100 Luottolaitoksella on oltava ongelmaluottojen tunnistamiseen ja hallitsemiseen prosessit ja luottolaitoksen saatavat tulee olla riittävästi hajautettuina luotonantostrategian mukaisesti (LLL 9:10.3). Asiakkaita ja vakuuksia tulee seurata, jotta luottolaitos voi tunnistaa ongelma-asiakkaat mahdollisimman aikaisessa vaiheessa. Luottolaitoksella on oltava periaatteet ja menettelytavat, joiden mukaan ongelma-asiakkaita käsitellään. Kovenanttien käyttö luotonannossa edellyttää luottolaitokselta niiden valvontaan ja seurantaan sopivia prosesseja ja järjestelmiä.101 Luottohallintaa varten luottolaitoksella on oltava sellainen toiminto, jolla luottolaitos varmistaa, että luotto on asianmukaisesti valmisteltu ja hyväksytty. Luottopäätöksen asiakirjoista tulee käydä ilmi luoton historia, päätösprosessi vaiheineen, luottoprosessissa mukana olleet henkilöt sekä luotonsaajan taloudellinen tilanne. Luottohallinnan tulee tuottaa oikea-aikaista tietoa luottolaitoksen ohjausjärjestelmiin, 99 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018, s. 20. 100 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018, s. 20. 101 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018, s. 22. 34 turvattava tehtävien eriytys ja valvonta sekä turvata menettelytapojen ja lain sekä viranomaisten määräysten noudattaminen.102 2.6 EU:n yleinen tietosuoja-asetus Automatisoidussa luotonmyöntöprosessissa on kyse automaattisesta päätöksenteosta. Lisäksi prosessissa hyödynnetään asiakkaan vahvaa sähköistä tunnistamista ja profilointia. Vahvaa sähköistä tunnistamista käsitellään jäljempänä luvussa 4. Automatisoidussa luotonmyöntöprosessissa koko prosessi luottohakemuksesta myönteiseen tai kielteiseen luottopäätökseen voi olla automatisoitu tai vain osa prosessista voi olla automatisoitu 103 . Päätöksenteon perustuessa ainoastaan automaattiseen henkilötietojen käsittelyyn ja kun tällaisella päätöksellä on oikeusvaikutuksia, on kyseessä automaattinen päätöksenteko. Yksilöllä on oikeus EU:n yleisen tietosuoja-asetuksen mukaan olla joutumatta tällaisen automaattisen päätöksenteon kohteeksi.104 Pankki- ja rahoitustoiminnassa käytetään ja hyödynnetään profilointia päätöksenteon tueksi105. Profiloinnilla arvioidaan yksilön henkilökohtaisia ominaisuuksia kuten taloudellista asemaa, terveyttä, kiinnostuksen kohteita, luotettavuutta, käyttäytymistä ja sijaintia106. Euroopan parlamentti ja neuvosto on antanut vuonna 2016 EU:n yleisen tietosuoja- asetuksen (EU) 2016/679 107 . Asetuksen tarkoituksena on vahvistaa säännöt luonnollisten henkilöiden henkilötietojen käsittelyn suojelussa sekä henkilötietojen vapaalle liikkuvuudelle. Asetuksella suojataan luonnollisten henkilöiden perusoikeuksia, etenkin oikeutta henkilötietojen suojaan. Henkilötietojen vapaata liikkuvuutta EU:n 102 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018, s. 21. 103 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018, s. 18. 104 EU:n yleinen tietosuoja-asetus, art. 22, kohta 1. 105 29 artiklan mukainen tietosuojatyöryhmä, s. 5. 106 29 artiklan mukainen tietosuojatyöryhmä, 7. 107 EUVL N:o L 119, 4.5.2016, s. 1–88. 35 sisällä ei saa estää, mikäli kyseessä on henkilötietojen suojeluun liittyvä henkilötietojen käsittely.108 Suomessa on perustettu 29 artiklan mukainen tietosuojatyöryhmä109, jonka tarkoituksena on ollut antaa suuntaviivat automatisoiduista yksittäispäätöksistä ja profiloinnista EU:n yleisen tietosuoja-asetuksen täytäntöönpanemiseksi. Tutkimuksessa hyödynnetään työryhmän antamia suuntaviivoja. EU:n yleistä tietosuoja-asetusta sovelletaan asetuksen 2 artiklan mukaisesti osittain tai kokonaan automaattiseen henkilötietojen käsittelyyn sekä rekisterin muodostaviin henkilötietojen käsittelyihin. Henkilötiedoilla tarkoitetaan asetuksen 4 artiklan mukaan: ”kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella” (EU :n yleinen tietosuoja-asetus art. 4, kohta 4). Profiloinnilla tarkoitetaan EU:n yleisen tietosuoja-asetuksen 4 artiklan mukaan: ”mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin” (EU:n yleinen tietosuoja-asetus art. 4, kohta 4). Yleisen tietosuoja-asetuksen 29 artiklan mukaisen tietosuojatyöryhmän suuntaviivojen mukaan profiloinnin avulla arvioidaan ja analysoidaan yksilön henkilökohtaisia ominaisuuksia automaattisessa käsittelyssä perustuen yksilöstä saataviin henkilötietoihin 110 . Profilointimenettely saattaa sisältää tilastollista päättelyä ja sitä käytetään yksilöstä tehtäviin ennusteisiin. Profiloinniksi ei kuitenkaan voida lukea 108 EU:n yleinen tietosuoja-asetus, art. 1. 109 29 artiklan mukainen tietosuojatyöryhmä. 110 29 artiklan mukainen tietosuojatyöryhmä, s.7. 36 kaikkea yksilön luokittelua. Se, onko yksilön ominaisuuksien kuten iän, sukupuolen tai pituuden perusteella tehtävä luokittelu profilointia, riippuu tietosuojatyöryhmän mukaan luokittelun tarkoituksesta.111 Tilastollisiin tarkoituksiin ja kokonaiskuvaa varten tehtävät luokittelut esimerkiksi kuluttajan iän perusteella ei ole profilointia, koska kyseessä ei ole henkilökohtaisten ominaisuuksien arviointi. Henkilötietoja on käsiteltävä EU:n yleisen tietosuoja-asetuksen 5 artiklan mukaan lainmukaisesti, kohtuullisesti ja läpinäkyvästi. Henkilötietoja on sallittua kerätä ainoastaan tiettyä, nimettyä tarkoitusta varten eikä niitä saa käyttää myöhemmin muita tarkoituksia varten. Henkilötietoja kerättäessä tulee huomioida tietojen minimointi ja täsmällisyys; tietoja saa kerätä ainoastaan asian kannalta oleellisin osin. Henkilötietoja ei saa säilyttää kauempaa kuin on tarve ja niiden säilyttämisessä ja käyttämisessä on huomioitava henkilötietojen turvallisuus. Luvaton ja lainvastainen henkilötietojen käyttö tulee estää säilytysmuodon avulla. (EU:n yleinen tietosuoja-asetus art. 5.) Jokaisella on EU:n yleisen tietosuoja-asetuksen 21 artiklan mukaan oikeus vastustaa häntä koskevien henkilötietojen käsittelyä sekä häntä koskevaa profilointia milloin tahansa. Yleisen tietosuoja-asetuksen 29 artiklan mukaisen tietosuojatyöryhmän suuntaviivojen mukaan rekisterinpitäjän täytyy tarjota vastustamisoikeus kaikissa tapauksissa, joissa käsittely tapahtuu yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e tai f alakohdan tarkoittamissa tilanteissa112. Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta viittaa siihen, että profilointi on tarpeen ”yleistä etua koskevan tehtävän suorittamiseksi” tai julkisen vallan käyttämiseksi. 29 artiklan mukaisen tietosuojatyöryhmän mukaan tämä tarkoittaa, että profilointi on sallittu tietyissä olosuhteissa julkisella sektorilla113. Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohta viittaa puolestaan siihen, että profilointi on sallittu ”rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi ”. F-alakohtaa sovellettaessa 111 29 artiklan mukainen tietosuojatyöryhmä, s. 7. 112 29 artiklan mukainen tietosuojatyöryhmä, s. 19. 113 29 artiklan mukainen tietosuojatyöryhmä, s. 15. 37 on arvioitava menevätkö rekisteröidyn edut tai perusoikeudet rekisterinpitäjän etujen edelle114. Jokaisella on oikeus olla joutumatta automaattisen päätöksenteon kohteeksi. EU:n yleisen tietosuoja-asetuksen 22 artiklan 1 kohdan mukaan: ”rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi” (EU:n yleinen tietosuoja-asetus art. 22, kohta 1). Edellä mainittu artiklan kohta antaa yleiskiellon pelkästään automaattiseen käsittelyyn perustuviin päätöksiin. Tällaiset yksittäispäätökset, joilla on rekisteröidyn kannalta oikeusvaikutuksia, ovat kiellettyjä joitakin poikkeuksia lukuun ottamatta. Jos poikkeuksia käytetään, tulee varmistua toimenpiteistä, joilla suojataan rekisteröidyn oikeuksia ja vapauksia. 115 Yleisen tietosuoja-asetuksen 22 artiklan 3 kohdan mukaan tällainen suojaustoimenpide kattaa vähintään sen, että rekisteröidyllä on oikeus vaatia luonnollista henkilöä tietojen käsittelyyn sekä oikeus esittää kannanottonsa ja riitauttaa päätös. Luotonmyöntöprosessin oikeudellinen viitekehys koostuu laajasta kansallisesta ja kansainvälisestä juridisesta sääntelystä. Luottosopimusta edeltävä luoton etämyynti, asiakassuhteen ja kuluttajan luottokelpoisuuden arviointi, hyvien pankki- ja luotonmyöntötapojen noudattaminen koko luotonmyöntöprosessin ajan sekä EU- sääntelyn mahdollistaman profiloinnin ja automaattisen päätöksenteon hyödyntäminen johtavat lopulta kirjallisen sähköisesti allekirjoitetun luottosopimuksen laatimiseen luottolaitoksen ja kuluttajan välillä. Yksi tärkeimmistä luottolaitosta sitovista velvoitteista, johon myös Finanssiala ry:n hyvä pankkitapa pitkälti perustuu, on velvoite tuntea ja tunnistaa asiakas. Tuntemalla asiakas ja varmistumalla oikeanlaisesta tunnistamisesta luottolaitos vähentää mahdollisia korkean riskin asiakassuhteita ja vahvistaa omaa 114 29 artiklan mukainen tietosuojatyöryhmä, s. 15. 115 29 artiklan mukainen tietosuojatyöryhmä, s. 21. 38 asemaansa finanssimarkkinoilla. Asiakkaan tuntemista ja tunnistamista osana automatisoitua luotonmyöntöprosessia tarkastellaan tutkimuksen seuraavassa luvussa. 39 3 Asiakkaan tunteminen ja tunnistaminen osana automatisoitua luotonmyöntöprosessia Rahanpesudirektiivin (Neuvoston direktiivi (EU) 2015/849) 116) 2 luvun 10 artiklan ja rahanpesulain 3 luvun 2 §:n mukaan luottolaitoksen on todennettava ja tunnistettava asiakkaansa, eikä luottolaitoksella saa olla anonyymejä asiakkaita. Asiakkaan tunteminen ja tunnistaminen ovat pankin keskeisimpiä tehtäviä rahanpesun estämiseksi 117 . Wuolijoen mukaan asiakkaan tunnistaminen tarkoittaa asiakkaan henkilöllisyyden todentamista ja se on järjestelmien luotettavuuden kannalta tärkeää. Asiakkaan tunteminen puolestaan viittaa asiakkaan taloudellisen tilanteen ja toiminnan tuntemiseen, mikä edesauttaa poikkeuksellisten toimintojen havaitsemista ja tutkimista. Wuolijoki viittaa asiakkaan tunnistamisella ja tuntemisella arvopaperimarkkinaoikeudelliseen know your customer -periaatteeseen (KYC- periaate).118 Know your customer -periaate liittyy keskeisesti sijoituspalveluita tarjoavien toimijoiden sijoittajansuojaperiaatteisiin. Lähdevuori kiteyttää KYC-periaatteen edellyttävän sijoitusneuvonnassa sijoituspalveluita tarjoavan selonottovelvollisuutta asiakkaan tarpeista. Asiakasta koskevien tietojen hankkimisella täytetään kaksi KYC-periaatteen ulottuvuutta: tunnistamisvelvollisuus sekä asiakkaan etujen mukaisen palvelun toteuttaminen saatujen tietojen avulla. 119 Luotonmyöntämisessä periaatetta hyödynnetään palvelemalla asiakasta hänen luottotarpeidensa mukaisesti. KYC- periaatteella pyritään siis palvelemaan asiakasta paremmin; yhtäältä pankki välttää rahanpesunriskejä ja toisaalta asiakas saa luoton tarpeisiinsa nähden. 116 EUVL N:o L 141, 5.6.2015, s. 73–117. 117 Wuolijoki, 2022, s. 115. 118 Wuolijoki, 2022, s. 115. 119 Lähdevuori, 30.12.2005. 40 Seuraavaksi käsitellään tarkemmin asiakkaan tuntemista ja tunnistamista, niiden eroja sekä merkitystä pankkien ydintoiminnalle eli rahoittamiseen ja luotonmyöntämiseen. 3.1 Asiakkaan tunteminen Asiakkaan tuntemisesta säädetään rahanpesudirektiivissä, rahanpesulaissa, luottolaitoslain 15 luvussa sekä Finanssivalvonnan standardissa 2.4120. Luottolaitoslain 15 luvun 18 §:n mukaan luottolaitoksen on tunnettava asiakkaansa. Finanssivalvonnan standardin 2.4. mukaan asiakkaan tunteminen tarkoittaa luottolaitoksen asiakkaan sekä asiakkaan toiminnan laadun ja laajuuden tunnistamista ja tuntemista. Luottolaitoksen on selvitettävä riittävällä laajuudella asiakassuhteeseen nähden asiakkaan oikea henkilöllisyys, asiakkaan toiminta sekä taustat.121 Rahanpesulain mukaan luottolaitos saa kerätä ja hyödyntää asiakkaasta saatavilla olevaa tietoa riskiarvion laatimiseksi, rahanpesun rahoittamisen estämiseksi sekä selonottovelvollisuuden täyttämiseksi (RPL 3:4). Asiakas tulee tunnistaa ja henkilöllisyys todentaa samalla, kun asiakkuussuhdetta perustetaan, kuitenkin viimeistään ennen kuin asiakkaalle luovutetaan varat (RPL 3:2.4). Mikäli luottolaitos ei saa tunnistettua asiakasta luotettavasti, voi luottolaitos kieltäytyä tarjoamasta palveluita asiakkaalle (RPL 3:1.1). Luottolaitoksella tulee olla riskiarvio laadittuna, jotta se tunnistaa rahanpesun ja terrorismin rahoittamisen riskit. Asiakkaan tunteminen tulee perustua riskiperusteiseen arviointiin. (RPL 2:3.1 ja RPL 3:1.2.) Riskiperusteinen arviointi asiakkaan tuntemisessa tarkoittaa, että luottolaitoksella on omat toimintaansa soveltuvat asiakkaan tuntemista koskevat toimintamenetelmät, jotka ottavat huomioon asiakkaalle tarjottavien palveluiden ja rahanpesun ja terrorismin 120 Finanssivalvonta, 22.6.2010. Standardi 2.4 Asiakkaan tunteminen – rahanpesun ja terrorismin rahoittamisen estäminen. 121 Finanssivalvonta, 22.6.2010. Standardi 2.4 Asiakkaan tunteminen – rahanpesun ja terrorismin rahoittamisen estäminen, s. 12. 41 rahoittamisen riskit 122 . Riskiperusteisen arvioinnin tarkoituksena on tunnistaa luottolaitoksen asiakkaisiin, tuotteisiin ja palveluihin liittyvät riskit (RPL 2:3) sekä arvioida luottolaitoksen käyttämän riskienhallintamenetelmien toimivuutta ja sopivuutta. Lisäksi luottolaitoksen on kehitettävä asiakkaan tuntemiseen omat menetelmät, laatia sisäiset toimintaohjeet ja kouluttaa henkilöstö. Luottolaitoksen toiminta on organisoitava luotettavalla tavalla.123 Riskiperusteinen arviointi on Wuolijoen mukaan rahanpesun estämisen perusperiaatteista. Pankilta odotetaan korkeampaa asiakkaan tuntemis- ja valvontatoimia, mikäli rahanpesun riski asiakkaan kohdalla on korkea. Asiakkaiden riskiluokittelu on Wuolijoen mukaan korkea riski, normaali riski ja matala riski.124 Mikäli pankki arvioi riskiarvion perusteella, että asiakassuhteessa on olemassa tavanomaista suurempi riski rahanpesulle, tulee pankin soveltaa tehostettua asiakkaan tuntemisvelvollisuutta (RPL 3:10). Toisaalta mikäli riskiarvion perusteella asiakassuhteessa todetaan olevan vähäinen rahanpesun riski, voi pankki soveltaa asiakkaan tuntemiseen yksinkertaistettua asiakkaan tuntemisvelvollisuutta (RPL 3:8). Kuviossa 2 on kuvattu riskiperusteinen arviointi luottolaitoksen toiminnassa. Uuden asiakkaan tuntemisessa käytetään riskiperusteista arviointia, tehdään riskikartoitus sekä laaditaan asiakkaasta luottoriskianalyysi. Analyysin avulla voidaan asiakkaat jakaa erilaisiin riskiluokitusryhmiin (kuten matala, normaali ja korkea riski). Riskiluokitusjärjestelmän tulee ottaa huomioon mahdolliset asiakkaan luottokelpoisuudessa ja maksukyvyssä tapahtuvat muutokset. Riskiluokituksesta saadun tiedon perusteella luottolaitoksen on noudatettava yksinkertaistettua, normaalia tai tehostettua tuntemismenettelyä. Lopuksi luottolaitoksen on seurattava ja valvottava asiakasta ja sen toimintaa säännöllisesti tai jatkuvasti. Luottolaitoksen valvonnassa ja seurannassa saattaa esiintyä aihetta erilaisille toimenpiteille, kuten sisäisten raporttien 122 Finanssivalvonta, 22.6.2010. Standardi 2.4 Asiakkaan tunteminen – rahanpesun ja terrorismin rahoittamisen estäminen, s. 13. 123 Finanssivalvonta, 22.6.2010. Standardi 2.4 Asiakkaan tunteminen – rahanpesun ja terrorismin rahoittamisen estäminen, s. 13. 124 Wuolijoki, 2022, s. 117. 42 laadinnalle, uuden riskiarvioinnin laatimiselle tai henkilöstön huolellisuuden edistämiselle. Kuvio 2. Riskiperusteinen arviointi asiakkaan tuntemisessa. Riskikartoituksessa huomioitavat asiat voidaan jakaa Finanssivalvonnan mukaan kolmeen osa-alueeseen: asiakkaaseen liittyviin ominaispiirteisiin, maa- ja vastapuoliriskeihin sekä asiamiehiin ja ulkoistettuihin toimijoihin. Mikäli luottolaitoksen asiakas on poliittisesti vaikutusvaltainen henkilö, edellytetään luottolaitokselta tehostettua, korkean riskin menettelyä asiakkaan tuntemisessa sekä erityistä asiakkaan hyväksymismenettelyä. Mikäli luottolaitoksen asiakas on Suomen viranomainen, luottolaitoksen edellytetään noudattavan yksinkertaistettua tuntemismenettelyä. Tavanomaisen henkilöasiakkaan kohdalla luottolaitos voi noudattaa normaalia asiakkaan tuntemismenettelyä. Sellaisen oikeushenkilön, jonka toiminnan omistusrakenne on monimutkaisempi kuin yleensä, luottolaitoksen tulee hankkia riittävän tuntemisen saavuttamiseksi tietoa oikeushenkilön tosiasiallisista edunsaajista sekä omistajista. Tällaista asiakassuhdetta on syytä seurata säännöllisemmin. Harmaan talouden Asiakkaan luottoriskianalyysi Riskiluokitus Tuntemismenettely Valvonta ja seuranta 43 toimialalla toimivan asiakkaan tunteminen edellyttää niin ikään riittävien tietojen hankkimista sekä jatkuvaa seurantaa.125 Menettelyistä asiakkaan tuntemiseksi ja riskitekijöistä rahanpesun ja terrorismin rahoittamisen estämistä annetussa valtioneuvoston asetuksessa (929/2021) säädetään mm. yksinkertaistetusta ja tehostetusta asiakkaan tuntemismenettelystä sekä asiakkaaseen liittyvistä riskitekijöistä. Asetuksen 1 §:n mukaan yksinkertaistettua tuntemismenettelyä sovellettaessa on luottolaitoksen varmistuttava riittävistä asiakkaan tuntemistoimista suhteessa palveluun, tuotteeseen, teknologiaan, asiakkaaseen liittyviin riskeihin ja poikkeavien liiketoimien havaitsemiseen. Mikäli asiakkaaseen kohdistuvat riskit ovat vähäisiä, voi luottolaitos soveltaa asiakkaaseen yksinkertaistettua tuntemismenettelyä. Asetuksen 2 §:n mukaan tehostettua tuntemismenettelyä sovellettaessa luottolaitoksen on päivitettävä tiheämmin asiakkaaseen liittyviä tuntemistietoja ja seurattava jatkuvasti asiakkaan liiketoimia poikkeamien havaitsemiseksi sekä riskien minimoimiseksi. Asiakkaaseen kohdistuu edellä mainitun asetuksen 7 §:n mukaan vähäinen rahanpesun ja terrorismin rahoittamisen riski, mikäli asiakkaana on julkisen kaupankäynnin kohteena oleva yhtiö, julkisyhteisö tai julkinen yritys tai asiakkaan asuinpaikka sijaitsee maantieteellisesti vähäisen riskin alueella. Tavanomaista suurempi riski rahanpesun ja terrorismin rahoittamiseen on asetuksen 8 §:n mukaan asiakkaalla, jonka liiketoimi toteutetaan epätavallisissa olosuhteissa ja liiketoimissa ja yritystoiminnassa käytetään paljon käteissuorituksia. Asetuksen 8 §:n mukaan tavanomaista suurempi riski on myös, kun asiakkaan asuinpaikka sijaitsee maantieteellisesti tavanomaista suuremman riskin alueella, asiakkaan henkilökohtaisia varoja hoidetaan oikeudellisten järjestelyiden avulla ja asiakkaan tunnistaminen on vaikeaa liiketoimien vuoksi. 125 Finanssivalvonta, 22.6.2010. Standardi 2.4 Asiakkaan tunteminen – rahanpesun ja terrorismin rahoittamisen estäminen, s. 15. 44 Rahanpesulain 3 luvun 3 §:n mukaan asiakkaan tuntemistiedot ja luottopäätöstä koskevat muut asiakirjat on säilytettävä luotettavasti vakituisen asiakassuhteen päätyttyä tai satunnaisen liiketoimen liiketoimien suorittamisen jälkeen viiden vuoden ajan. Finanssivalvonnan standardin 2.4 mukaan asiakkaan tuntemisen osa-alueita ovat mm. asiakkaan identifiointi ja verifiointi. Identifioinnilla tarkoitetaan asiakkaan tai asiakkaan edustajan tunnistamista ja verifioinnilla asiakkaan henkilöllisyyden todentamista 126 . Identifiointi ja verifiointi sisältävät rahanpesulain 3 luvun 3 §: n 2 momentin mukaan asiakkaan nimen, syntymäajan, henkilötunnuksen ja osoitteen sekä mahdollisen edustajan nimen, syntymäajan ja henkilötunnuksen selvittämisen. Jos asiakas on oikeushenkilö, tulee oikeushenkilöstä kerätä ja säilyttää tiedot oikeushenkilön täydellisestä nimestä, rekisteritiedoista, kotipaikan osoitteesta sekä tarpeen vaatiessa yhtiöjärjestys (RPL 3:3). Finanssivalvonnan standardin 2.4. mukaan asiakkaan tuntemisen osa-alueita ovat yllä mainittujen lisäksi tietojen dokumentointi ja säilyttäminen, liiketoimien ja asiakassuhteiden seuranta riskiperusteisesti ja selonottovelvollisuuden noudattaminen.127 3.2 Asiakkaan tunnistaminen Asiakkaan tunnistamisella tarkoitetaan finanssivalvonnan standardin 2.4 mukaan sellaisia luottolaitoksen luomia menettelyjä, joilla voidaan selvittää nykyisen tai tulevan asiakkaan henkilöllisyys asiakkaan toimittamien tietojen perusteella. Asiakkaan henkilöllisyyden todentamisella tarkoitetaan asiakkaan tunnistamisen yhteydessä toimittamien tietojen oikeellisuuden varmistamista riippumattomasta lähteestä.128 126 Finanssivalvonta, 22.6.2010. Standardi 2.4 Asiakkaan tunteminen – rahanpesun ja terrorismin rahoittamisen estäminen, s. 13. 127 Finanssivalvonta, 22.6.2010. Standardi 2.4 Asiakkaan tunteminen – rahanpesun ja terrorismin rahoittamisen estäminen, s. 13. 128 Finanssivalvonta, 22.6.2010. Standardi 2.4 Asiakkaan tunteminen – rahanpesun ja terrorismin rahoittamisen estäminen, s. 18. 45 Asiakas on tunnistettava ja henkilöllisyys todennettava, kun luottolaitos on perustamassa vakituista asiakassuhdetta tai satunnaista asiakassuhdetta, jossa liiketoiminnan suuruus on vähintään 10.000 euroa, kyse on yli 1.000 euroa ylittävästä varojen siirrosta ja yli 1.000 euroa ylittävästä virtuaalivaluuttaan liittyvästä palvelusta (RPL 3:2.1:n 1 kohta). Asiakas on tunnistettava ja todennettava myös, kun on kyseessä satunnainen asiakkuus ja liiketoimen suuruus on käteisenä vähintään 10.000 euroa ja, kun kyse on epäilyttävästä liiketoiminnasta tai kun luottolaitos epäilee liiketoimien varojen käyttöä terrorismin rahoittamiseen (RPL 3:2.1:n 2–3 kohta.) Luottolaitoksen on lisäksi tunnistettava ja todennettava asiakkaan henkilöllisyys, mikäli luottolaitos kokee, ettei asiakkaasta aiemmin kerätyt todentamistiedot riitä tai etteivät ne ole luotettavia (RPL 3:2.1:n 4 kohta). Asiakas tulee tunnistaa ja todentaa asiakassuhteen perustamisen yhteydessä ennen toimeksiannon suorittamista. Tunnistaminen ja todentaminen voidaan viimeistellä myöhemminkin, mutta se on tehtävä viimeistään ”ennen kuin asiakas saa määräysvaltaansa liiketoimeen sisältyvät varat tai muun omaisuuden tai ennen kuin liiketoimi on suoritettu loppuun”. (RPL 3:2.4.) Asiakkaan tunnistus- ja todentamismenetelmiä ovat Finanssivalvonnan standardin 2.4 mukaan henkilökohtainen tunnistaminen, vahvan sähköisen tunnistusvälineen tai laatuvarmenteen hyödyntäminen sekä postin suorittama tunnistaminen. Henkilökohtaisessa tunnistamisessa asiakkaan tunnistaminen tapahtuu luottolaitoksen henkilökunnan, luottolaitoksen ulkoistaman tahon tai asiamiehen tai kolmannen osapuolen toimesta henkilökohtaisen tapaamisen yhteydessä. Kun asiakasta ei tavata henkilökohtaisesti, henkilöllisyys todennetaan tunnistuslain mukaisella laatuvarmenteella tai vahvalla sähköisellä tunnistusvälineellä. Todentaminen voidaan suorittaa myös postin suorittamalla tunnistamisella ja henkilöllisyyden todentamisella lähettämällä sopimusasiakirjat kirjattuna kirjeenä saantitodistusta vastaan, jolloin asiakas noutaa lähetyksen henkilökohtaisesti postista. Tällöin posti toimittaa saantitodistuksen luottolaitokselle. Finanssivalvonta muistuttaa etäpalveluissa 46 selvittämään ja varmistamaan asiakkaan nimissä olevan pankkitilin numerot sekä transaktioiden kulkemisen asiakkaan ilmoittamien tilien kautta. 129 Rahanpesulain 3 luvun 11 §:n mukaan asiakas voidaan tunnistaa henkilökohtaisesti läsnä viranomaisen myöntämään henkilöllisyysasiakirjaan perustuen. Hallituksen esityksessä (HE 133/2022 vp) todetaan, että lainsäädännössä ei ole asetettu edellytyksiä sille, mitkä asiakirjat voivat ja mitkä eivät voi toimia henkilöllisyystodistuksina. Lainsäädännön käytännöt kuitenkin perustuvat yhtäältä poliisin myöntämiin henkilöllisyystodistuksiin eli passiin ja henkilökorttiin. 130 Tunnistuslain 3 luvun 17 §: n mukaan luonnollisen henkilön esitunnistamisessa hyväksyttäviä asiakirjoja ovat passi tai henkilökortti. Ajokorttia ei ole voinut käyttää enää 1.1.2019 voimaan tulleen lainmuutoksen jälkeen henkilöllisyystodistuksena, sillä henkilöllisyyden varmentaminen voi tunnistuslain 3 luvun 17 §: n mukaan perustua ainoastaan viranomaisen myöntämään henkilöllisyysasiakirjaan tai vahvaan sähköiseen tunnistamisvälineeseen. 131 Etätunnistamisessa asiakkaan henkilöllisyys tulee todentaa tunnistuslain tarkoittamalla tunnistusvälineellä tai sähköisen allekirjoituksen hyväksymällä varmenteella ja hankkimalla luotettavasta lähteestä lisätietoja (RPL 3:11). Asiakkaan henkilöllisyyden todentaminen etätunnistamistilanteissa luotettavasti saattaa vaatia eri menetelmien yhdistämistä. Asiakkaan antamien tietojen oikeellisuus voidaan tarkistaa julkisista rekistereistä, kuten väestötietorekisteristä, luottotietorekisteristä ja kaupparekisteristä, saatavien tietojen avulla.132 Kun asiakas ei ole läsnä tunnistamista ja todentamista varten, tulee luottolaitoksen myös varmistua siitä, että luottolaitoksen suoritus asiakkaalle tulee 129 Finanssivalvonta, 22.6.2010. Standardi 2.4 Asiakkaan tunteminen – rahanpesun ja terrorismin rahoittamisen estäminen, s. 21–22. 130 HE 133/2022 vp, s. 7. 131 Hallituksen esityksessä (HE 133/2022 vp) on eduskunnalle esitetty digitaalisen henkilöllisyystodistuksen sekä ulkomaalaisen digitaalisen asiointivälineen tuottamista ja käyttöönottoa. Kyseessä on uusi digitaalisessa muodossa oleva henkilöllisyystodistus, jota Poliisi ja Digi- ja väestötietorekisteri tuottaisivat. Tarkoituksena on, että tällainen digitaalinen henkilöllisyystodistus toimisi passin ja henkilökortin tavoin ja lisäksi se sisältäisi vahvan sähköisen tunnistautumisen ominaisuuden. Laki on tarkoitus tulla voimaan 1.9.2023. 132 Finanssivalvonta, 22.6.2010. Standardi 2.4 Asiakkaan tunteminen – rahanpesun ja terrorismin rahoittamisen estäminen, s.21. 47 luottolaitoksen tililtä ja suoritus maksetaan asiakkaan nimiin aiemmin avatulle tilille. (RPL 3:11.) Luottolaitoksen tulee rahanpesulain 2 luvun 6 §:n mukaan tunnistaa asiakkaan tosiallinen edunsaaja sekä kohtuullisin toimenpitein tarvittaessa todentaa tämän henkilöllisyys. Tosiasiallisen edunsaajan tunnistamismenetelmät tulee kirjata. Mikäli kyseessä on yhteisö, tulee yhteisön edunsaaja133 tunnistaa aina rahanpesulain 1 luvun 5 §:n 2–4 momentissa ja 7 §:ssä tarkoitetuissa tilanteissa. (RPL 3:6.) Rahanpesudirektiivin 13 artiklan mukaan luottolaitoksen tulee tietää tosiasiallinen omistaja ja edunsaaja siten, että luottoyhtiöllä on tieto asiakkaan omistus- ja määräysvaltarakenteesta. Tosiasiallista edunsaajaa ei tarvitse tunnistaa, mikäli asiakasyhtiön arvopaperi on arvopaperimarkkinalain mukaisesti säännellyllä markkinalla kaupankäynnin kohteena tai jos arvopaperi on edellä mainitun säännellyn markkinan kaltaisella säännellyllä markkinalla Euroopan talousalueen ulkopuolella (RPL 3:6). Rahanpesulain 3 luvussa 4 §:ssä säädetään asiakasta koskevien tietojen hankkimisesta, muuttuvien tietojen seuraamisesta sekä luottoyhtiön selonottovelvollisuudesta. Lainkohdan mukaan luottoyhtiön tulee hankkia ”tietoja asiakkaan ja asiakkaan tosiasiallisen edunsaajan toiminnasta, liiketoiminnan laadusta ja laajuudesta sekä perusteista palvelun käyttämiselle” (RPL 3:4). Riskiarvion laatimista ja selonottovelvollisuuden täyttämistä varten luottoyhtiöllä on oikeus hyödyntää erilaisia luotettavia tietolähteitä asiakkaasta saataviin tietoihin. Luonnollisesta henkilöstä saatavien tietojen käsittely sekä luonnollisen henkilön suojelu tulee olla EU:n yleisen tietosuoja-asetuksen mukaista. Luottoyhtiön tulee seurata asiakkaidensa toiminnan laatua asiakassuhteen pysyvyyteen, kestoon ja riskeihin nähden ja varmistua siitä, että asiakkaan toiminta vastaa luottoyhtiön tietoja ja kokemuksia asiakkaasta. (RPL 3:4.) Hallituksen esityksessä (HE 228/2016 vp) todetaan, että asiakassuhteen seurannalle 133 Yhteisön tosiasiallisella edunsaajalla tarkoitetaan luonnollista henkilöä, jonka omistuksessa on enemmän kuin 25 % oikeushenkilön osakkeista, joka käyttää suurempaa kuin 25 %:n osuutta äänioikeuksista tai joka muulla tavoin käyttää tosiasiallisesti määräysvaltaa oikeushenkilössä (RPL 1:5). 48 määriteltävät vaatimukset eroavat toisistaan, jos kyseessä on kertaluonteinen, satunnainen palvelusopimus tai jos kyseessä on vakituinen asiakassuhde134. 134 HE 228/2016 vp, s. 105–106. 49 4 Sähköinen tunnistaminen ja siihen liittyvät riskit Tunnistamismenetelmien käyttöön ja niiden hallintaan liittyy riskejä sekä luotonantajan että luotonottajan näkökulmasta. Sähköistä tunnistusvälinettä saatetaan käyttää oikeudettomasti kolmannen henkilön toimesta ja täten aiheuttaa vahinkoa tunnistusvälineen haltijalle sekä luottolaitokselle. Tunnistusvälineen haltijan tulee täyttää huolellisuusvelvoitteensa ja luottolaitoksen tulee täyttää tunnistamiseen ja sopimuksen laatimisen kriteereihin liittyvät velvollisuutensa, jotta oikeudettoman käytön riskejä voidaan minimoida. Seuraavaksi käsitellään sähköistä tunnistamista tunnistamismenetelmänä, luottokortin sekä verkkopankkitunnusten oikeudetonta käyttöä sekä arvioidaan niitä riskiperusteisesta näkökulmasta. 4.1 Sähköinen tunnistaminen tunnistamismenetelmänä Luottoyhtiö on velvollinen tarjoamaan peruspankkipalveluita yhdenvertaisesti ETA- valtiossa asuville luonnollisille henkilöille (LLL 15:6). Peruspankkipalveluihin kuuluu luottolaitoslain 15 luvun 6a §:n 1 momentin mukaan perusmaksutilin avaaminen, tilin käyttäminen ja sulkeminen, varojen tallentaminen, käteisnostot ETA-valtion alueella sekä maksutapahtumien toteuttaminen eri vaihtoehdoin. Verkkopankkitunnukset kuuluvat Finanssivalvonnan mukaan peruspankkipalveluissa perusmaksutilin käyttämiseen tilinkäyttövälineenä 135 . Perupankkipalveluihin lukeutuu myös vahva sähköinen tunnistuspalvelu (LLL 15:6a.2) Tunnistuslaissa säädetään vahvasta sähköisestä tunnistamisesta. Lain 1 luvun 2 §:n 1 momentin 1 kohdan mukaan vahva sähköinen tunnistaminen tarkoittaa: ”sellaista henkilön, oikeushenkilön tai oikeushenkilöä edustavan luonnollisen henkilön yksilöimistä ja tunnisteen aitouden ja oikeellisuuden todentamista 135 Finanssivalvonta, 5.9.2018. 50 sähköistä menetelmää käyttäen, joka täyttää sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 8 artiklan 2 kohdan b alakohdassa tarkoitetun korotetun varmuustason tai mainitun kohdan c alakohdassa tarkoitetun korkean varmuustason vaatimukset.” (tunnistuslaki 1:2.1) Vahva sähköinen tunnistaminen tarkoittaa yksinkertaistaen yksilön henkilöllisyyden todentamista sähköisesti 136 . Lainkohdassa mainitun sähköisestä tunnistamisesta ja luottamuspalveluista annetun eIDAS-asetuksen 8 artiklan 2 kohdan b alakohdan tarkoittama korotettu vaatimustaso tarjoaa merkittävän luottamustason sähköisen tunnistamisen menetelmässä, joka tunnistaa henkilön väitetyn ja henkilöstä esitetyn henkilöllisyyden. Sähköisen menetelmän tarkoituksena on vähentää huomattavasti henkilöllisyyden väärinkäyttöä ja väärinkäytön riskiä teknisillä tarkastuksilla ja asiaan liittyvillä standardeilla. eIDAS-asetuksen 8 artiklan 2 kohdan c alakohdan mukaan korkean varmuustason vaatimukset tarjoavat korkeamman luottamustason sähköisen tunnistamisen menetelmässä henkilön väitetyn tai henkilöstä esitetyn henkilöllisyyden tunnistamisessa verrattuna korotetun varmuustason vaatimuksiin137. Vahva sähköinen tunnistusmenetelmä on eIDAS-asetuksen 3 artiklan 2 kohdan mukaan henkilön tunnistetietoja sisältävä aineeton tai aineellinen kokonaisuus. Tätä kokonaisuutta käytetään verkkopalveluihin liittyviin todentamisiin. Todentamisella tarkoitetaan sähköisessä tunnistamisessa sähköistä prosessia, jossa luonnollisen henkilön tai oikeushenkilön tunnistetietojen alkuperä ja virheettömyys voidaan varmentaa ja vahvistaa. Henkilön tunnistetietojen avulla todennetaan luonnollisen henkilön, oikeushenkilön tai oikeushenkilöä edustavan luonnollisen henkilön henkilöllisyys.138 Ns. toisen maksupalveludirektiivin (Neuvoston direktiivi (EU) 2015/2366139) keskeisenä tarkoituksena on taata kuluttajille entistä laajemmat ja luotettavammat maksumarkkinat. Sähköisen maksamisen keinot ja menetelmät ovat muuttuneet teknisesti 136 HE 237/2020 vp, s. 3. 137 Neuvoston asetus (EU) 910/2014, art. 8, kohta 2, alakohta c. 138 Neuvoston asetus (EU) 910/2014, art. 3, kohdat 2, 3 ja 5. 139 EUVL N:o L 337, 23.12.2015, s. 35–127. 51 monimutkaisemmiksi, minkä vuoksi direktiivillä on haluttu tuoda asiakkaan vahva tunnistautuminen edellytykseksi kaikkeen sähköiseen maksamiseen kuluttajan turvallisuuden takaamiseksi. 140 Toisen maksupalveludirektiivin mukaan asiakkaan vahva tunnistaminen tarkoittaa tunnistautumismenetelmää, jossa perustana ovat vähintään kaksi toisistaan riippumatonta tekijää. Nämä tekijät ovat tieto, hallussapito ja erityinen ominaisuus. Toisen maksupalveludirektiivin mukaan ”tieto” tarkoittaa sellaista tietoa, jonka vain asiakas tietää, ”hallussapito” tarkoittaa jotain, mitä vain asiakkaalla on ja ”erityinen ominaisuus” tarkoittaa jotain, mitä asiakas itse on. Asiakkaan vahvan tunnistamisen perustuminen vähintään kahteen edellä mainituista tekijöistä vahvistaa tunnistamistiedon luottamuksellisuutta. 141 Toisen maksupalveludirektiivin 74 artiklan 2 kohdassa todetaan, että maksaja ei ole vastuussa taloudellisista seuraamuksista, jos maksupalveluntarjoaja ei ole vaatinut asiakkaan vahvaa tunnistamista, ellei kyse ole maksajan petollisesta toiminnasta142. Vahvan sähköisen tunnistamisen riskit kohdistuvat siihen, että tunnistus perustuu edellä todetun tavoin tiettyjen tietojen hallintaan. Ponka toteaa, että mikäli tunnistusvälineen väärinkäyttäjällä on jokin näistä tiedoista hallussaan, väärinkäyttäjän tekemän sähköisen tunnistamisen avulla tehdyn sähköisen allekirjoituksen erottaminen oikean tunnistusvälineen haltijan tekemästä allekirjoituksesta on mahdotonta. Lisäksi tunnistusta tai allekirjoitusta tutkimalla ei voida tehdä sitovia päätelmiä allekirjoituksen tekijästä. Sähköinen allekirjoitus kertoo, että tunnistus- ja luomistietoja on käytetty, mutta ei sitä, kuka niitä on käyttänyt. 143 Sähköisen tunnistamismenetelmän turvallisuutta voidaan arvioida Ponkan mukaan ensitunnistamisen epäonnistumisen, tunnistusvälineen hallinnan menetyksen sekä 140 Neuvoston direktiivi (EU) 2015/2366. 141 Neuvoston direktiivi (EU) 2015/2366, art. 4, kohta 30. 142 Neuvoston direktiivi (EU) 2015/2366, art. 74, kohta 2. 143 Ponka, 2013, s. 319. 52 menetelmän teknisten puutteiden avulla144. Mikäli ensitunnistamisessa145 tehdään virhe, kuten liitetään tietyt omaisuudet tai muu tieto vääriin henkilötietoihin, ei sähköinen tunnistautuminen toimi oikein. Sähköisen tunnistamisen turvallisuutta lisää se, että tunnistusväline on ainoastaan tunnistetun henkilön hallussa. Mikäli tunnistusvälineen hallinta menetetään esimerkiksi varastamisen vuoksi, lisää se sähköisen tunnistamisen riskiä. 146 Tässä keskeisenä vaikuttavana seikkana on myös jäljempänä käsiteltävä tunnistusvälineen haltijan huolellisuusvelvoite. Vaikka ensitunnistaminen onnistuisi ja sähköisen tunnistusvälineen haltijasta olisi täysi varmuus, voi teknologiaan puutteet lisätä sähköisen tunnistamisen riskiä. Tunnistusjärjestelmässä olevien teknisten aukkojen vuoksi tunnistusvälineen tiedot saatetaan kopioida tai arvata, jolloin tunnistusvälinettä voidaan käyttää väärin kolmannen nimissä. Digitaalisen allekirjoituksen väärentäminen vaatii kuitenkin hyvien algoritmien ja tietoteknisten hakkerointitaitojen hallintaa, mikä on epätodennäköinen uhka monelle luottolaitokselle.147 Sähköisen tunnistautumisen tunnistusvälineitä on hallituksen esityksen (HE 237/2020 vp) mukaan pankkien tarjoamat pankkitunnukset, teleyritysten myöntämät mobiilivarmenteet sekä kansalais- ja organisaatiovarmenteet148. Verkkopankkitunnukset ovat yksi tunnistusvälineistä, joilla voidaan tehdä vahvan sähköisen tunnistautumisen luottoa haettaessa149. Verkkopankkitunnukset ovat Finen mukaan henkilökohtaiset150. Myös oikeuskäytännössä korkein oikeus on todennut verkkopankkitunnusten tai muun tunnistusvälineen olevan aina henkilökohtainen (KKO 2016:73, kohta 9). Koska verkkopankkitunnukset ovat henkilökohtaiset, ei niitä saa luovuttaa kenellekään muulle, 144 Ponka, 2013, s. 320–321. 145 Sähköinen tunnistaminen ja tunnistusvälineen hallinta perustuu ensitunnistamiseen. Ensitunnistamisessa liitetään tietty ominaisuus, salaisuus tai tieto tiettyihin henkilötietoihin. Tunnistustilanteessa ko. ominaisuuden, salaisuuden tai tiedon hallinta tulee osoittaa. 146 Ponka, 2013, s. 321. 147 Ponka, 2013, s. 326–327. 148 HE 237/2020 vp, s 3. 149 Ks. KKO 2016:73, jossa todetaan verkkopankkitunnusten olevan tunnistusväline. 150 Fine, 2022. 53 ei edes puolisolle. Verkkopankkitunnusten huolimattomasta säilyttämisestä tai oikeudettomasta käytöstä seuraa usein korvausvelvollisuus. 4.2 Luottokortin ja verkkopankkitunnusten oikeudeton käyttö Tunnistusvälineen haltijan vastuu tunnistusvälineen (kuten verkkopankkitunnusten) huolellisesta säilyttämisestä voidaan rinnastaa lopputulokseltaan samaan tilanteeseen, mikä kuluttajalla on luottokortin huolellisesta säilyttämisestä sekä luottokortin oikeudettomasta käytöstä. Seuraavaksi käsiteltävässä korkeimman oikeuden ratkaisussa KKO 2018:71 on kysymys luottokortin väärinkäytöstä. Jäljempänä luvussa 5.1 tarkastellaan korkeimman oikeuden ratkaisua KKO 2016:73, jossa on kysymys tunnistusvälineen huolimattomasta säilyttämisestä sekä luoton hakemisesta A:n nimissä. Korkein oikeus totesi, että A on säilyttänyt huolimattomasti verkkopankkitunnuksiaan. (KKO 2016:73). Korkeimman oikeuden tapauksessa KKO 2018:71 henkilön luottokortti oli varastettu ja sitä oli oikeudettomasti käytetty rahan nostamiseen pankkiautomaatilla. A oli jättänyt luottokorttinsa sisältävän lompakkonsa toimistonsa työpöydälle. A säilytti luottokorttiin liittyvää tunnuslukutaulukkoa työpöydän laatikossa. A oli jättänyt lompakkonsa sekä tunnuslukukorttinsa huolimattomasti lukitsemattomaan toimistoonsa siksi aikaa, kun kävi ullakolla. Tällä välin toimistoon päässyt henkilö oli anastanut kortin ja käyttänyt sitä läheisellä pankkiautomaatilla.151 Kysymys alioikeuksissa sekä korkeimmassa oikeudessa oli siitä, oliko A toiminut huolimattomasti vai törkeän huolimattomasti laiminlyödessään maksupalvelulain 53 §:n mukaisen velvollisuuden säilyttää maksukorttia ja tunnuslukua huolellisesti. Käräjäoikeus totesi A:n toimineen huolimattomasti ja velvoitti A:n korvaamaan pankille 150 euroa korkoineen. Hovioikeus puolestaan totesi A:n toimineen törkeän huolimattomasti ja velvoitti A:n korvaamaan pankille pankin vaatiman summan 5 128 euroa korkoineen ja perintäkuluineen. 152 151 KKO 2018:71. 152 KKO 2018:71. 54 Korkeimmassa oikeudessa oli kysymys siitä, oliko A toiminut törkeän huolimattomasti ja oliko A vastuussa pankille maksettavasta korvauksesta täysmääräisesti. Korkein oikeus perustelee huolimattomuuden ja törkeän huolimattomuuden välistä rajamaastoa maksupalvelulain esitöiden (HE 169/2009 vp) avulla 153 . Hallituksen esityksen (HE 169/2009 vp) mukaan maksuvälineen haltijalla on velvollisuus huolehtia maksuvälineestä ja sen tunnistetiedoista kohtuullisin toimin. Kohtuullisina toimina pidetään hallituksen esityksen mukaan sitä, että maksuvälineen haltija säilyttää maksukorttia yhtä huolellisesti kuin käteistä rahaa, sillä maksuvälineet on tarkoitettu päivittäiseen käyttöön ja niitä on voitava kuljettaa mukana (esimerkiksi lompakossa). 154 Lain esitöissä mainitaan, että maksuvälineen haltijalta voidaan edellyttää kohtuullisina varotoimina anastamisen ehkäisemiseksi sitä, että maksukorttia ja siihen kuuluvaa tunnuslukukorttia säilytetään erillään. Lisäksi maksuvälineen haltijalta voidaan odottaa maksuvälineen tallella olon seuraamista olosuhteiden edellyttämällä tavalla. Hallituksen esityksessä todetaan, että huolellisena menettelynä voidaan pitää tilannetta, jossa maksuvälinettä (tässä tapauksessa maksukorttia) on säilytetty maksuvälineen haltijan lompakossa ja maksukortin tunnuslukua kotona lipastossa. 155 Mikäli maksukortin haltija säilyttää maksukorttia ja tunnuslukutaulukkoa samassa lompakossa, voi kyseessä olla törkeä huolimattomuus. Törkeällä huolimattomuudella viitataan hallituksen esityksessä erittäin vakavaan varomattomuuteen sekä maksuvälineen haltijan piittaamattomuuteen liittyen maksuvälineen käyttöön ja hallintaan liittyviin turvallisuusriskeihin.156 Korkeimman oikeuden ratkaisussa KKO 2018:71 korkein oikeus päätyi kumoamaan hovioikeuden ratkaisun ja asia jätettiin käräjäoikeuden tuomion varaan. A:n menettelyn ei katsottu osoittavan niin vakavaa piittaamattomuutta, että kyseeseen olisi tullut törkeä huolimattomuus, siitä huolimatta, että A on lisännyt anastuksen riskiä jättämällä toimiston oven lukitsematta ja jättämällä lompakon toimiston pöydälle. Toiminta on ollut 153 KKO 2018:71. 154 HE 169/2009 vp, s. 68. 155 HE 169/2009 vp, s. 68. 156 HE 169/2009 vp, s. 75. 55 kertaluontoista, minkä vuoksi anastamisesta aiheutunut vaara on ollut lyhytaikaista eikä kovinkaan todennäköistä. 157 Kuluttajansuojalain 7 luvun 40 §:n mukaan luottosopimuksen luotonantajan kanssa tehnyt kuluttaja vastaa luottokortin oikeudettomasta käytöstä, mikäli kuluttaja on luovuttanut maksuvälineen oikeudettomaan käyttöön, menetellyt huolimattomasti tai on laiminlyönyt ilmoitusvelvollisuutensa luotonantajalle maksuvälineen oikeudettomasta joutumisesta toisen haltuun tai käytöstä ilman aiheetonta viivästystä. Kuluttaja vastaa kuitenkin edellä mainituissa tapauksissa oikeudettomasta käytöstä enintään 50 euroon saakka, mikäli kuluttajan toiminta on huolimatonta. Mikäli kuluttaja on toiminut tahallaan tai törkeän huolimattomasti, tätä euromääräistä rajoitusta ei sovelleta. (KSL 7:40). Kuluttajansuojalaissa 7 luvussa 40 §:n 3 momentissa todetaan, että kuluttaja ei ole vastuussa maksuvälineen oikeudettomasta käytöstä, sen jälkeen, kun tunnisteen katoamisesta ja toisen haltuun joutumisesta on ilmoitettu luotonantajalle. Kuluttaja ei myöskään vastaa oikeudettomasta käytöstä, mikäli luotonantaja on laiminlyönyt huolellisuusvelvoitteensa sen suhteen, että tunnisteen haltijalle on tosiasiallisesti ollut mahdollisuus ilmoittaa oikeudettomasta käytöstä tai maksuvälineen katoamisesta. Kuluttaja on kuitenkin vastuussa tunnisteen oikeudettomasta käytöstä, mikäli kuluttaja on tahallaan tehnyt luotonantajalle väärän ilmoituksen ja toiminut siten petollisesti. (KSL 7:40.3). Vaasan hovioikeuden antamassa tuomiossa S 21/984, on kyse siitä, onko A vastuussa A:n nimissä vilpillisesti tehdystä luottosopimuksesta ja siitä aiheutuvista kuluista. Lisäksi kysymys on siitä, onko A säilyttänyt verkkopankkitunnuksiaan riittävän huolellisesti. B on saanut tietoonsa ja haltuunsa A:n verkkopankkitunnukset, joiden avulla B on saanut kaksi myönteistä lainapäätöstä luottolaitokselta ja rahat on maksettu A:n tilille, josta B on rahat nostanut itselleen. Luottolaitos vaatii A:ta korvaamaan 157 KKO 2018:71. 56 kulutusluottosopimuksen pääoman kuluineen sekä oikeudenkäyntikuluineen. A:lla oli luottolaitoksen mukaan vastuu verkkopankkitunnusten oikeudettomasta käyttämisestä.158 Käräjäoikeuden tuomiossa todetaan, että luottolaitoksen lainanmyöntöprosessi on automatisoitu siten, ettei pankin edustaja käy henkilökohtaisesti läpi asiakkaan sähköisessä hakemuksessaan antamia tietoja. Annetuista tiedoista ei ole edellytetty selvitystä, kuten palkkatodistusta. B on ilmoittanut A:n tuloiksi ensimmäisessä luottohakemuksessa 36 000 euroa ja toisessa luottohakemuksessa 120 000 euroa. Todellisuudessa A:n vuositulot ovat olleet 4 800 euroa. Automatisoitu luotonmyöntöprosessi on myöntänyt luoton puutteellisista tiedoista huolimatta haetun lainasumman pienuuden vuoksi. Käräjäoikeus toteaa, että luottolaitos voi toimia siten, ettei täydellisiä tietoja esimerkiksi työsuhteesta vaadita, mutta riskinä on se, että luottoja myönnetään henkilöille, joilla ei todellisuudessa ole maksukykyä. Käräjäoikeus oli A:n uskottavaan kertomukseen vedoten hylännyt luottolaitoksen kanteen ja toteaa, ettei A ollut vastuussa hänen tiedoillaan ja verkkopankkitunnuksillaan saaduista lainoista. 159 Luottoyhtiö oli hovioikeudessa vaatinut käräjäoikeuden tuomion kumoamista ja A:n velvoittamista korvaamaan kulutusluoton maksamatta jääneet erät. Hovioikeus on ratkaisussaan arvioinut tunnistusvälineen säilyttämistä. A on säilyttänyt verkkopankkitunnuksiaan matkapuhelimessaan. B on saanut tietoonsa A:n matkapuhelimen avauskoodin, ja sitä kautta päässyt käsiksi A:n verkkopankkitunnuksiin. A:n olisi pitänyt ymmärtää, että verkkopankkitunnukset ovat olleet B:n saatavilla, minkä vuoksi hovioikeus toteaa, että verkkopankkitunnusten oikeudeton käyttö on johtunut A:n huolimattomuudesta. 160 A on laiminlyönyt velvollisuutensa ilmoittaa luottamus- ja tunnistuslain 25 §:n 1 momentin mukaisesti luottolaitokselle tunnistusvälineen oikeudettomasta käytöstä viivytyksettä. Kuluttajansuojalain 7 luvun 14 §:n 1 momentin mukaan luottolaitoksen on selvitettävä ennen luoton myöntämistä asiakkaan maksukyky 158 VHO S 21/984. 159 VHO S 21/984. 160 VHO S 21/984. 57 esimerkiksi tulotietojen perusteella. Hallituksen esityksen (HE 78/2012 vp) mukaan luottolaitoksen tulee tarkistaa asiakkaan luottotiedot myös rahamäärältään pienemmissä luotoissa161. Hovioikeus toteaa, että luottolaitos on laiminlyönyt velvollisuutensa selvittää luotonhakijan luottokelpoisuus riittävällä tavalla ja koska lisäselvityksen hankkiminen olisi voinut johtaa luottojen epäämiseen, kohtuullistaa hovioikeus vaadittuja korvauksia yhteen kolmasosaan vaadituista. Hovioikeus hyväksyi osittain luottolaitoksen kanteen ja velvoitti A:n korvaamaan 1/3 vaadituista rahamääristä luottolaitokselle. 162 4.3 Oikeudettoman käytön arviointi riskiperusteisesta näkökulmasta Edellä luvussa 4.2 todetuin tavoin luottolaitoksella on kuluttajansuojalain 7 luvun 14 §:n 1 momentin mukaan velvollisuus selvittää asiakkaan luottokelpoisuus ja kyky täyttää luottosopimuksen mukaiset velvoitteet. Luottokelpoisuusarviointi on tehtävä kuluttajan taloudellista olosuhdetta kertovien riittävien tietojen perusteella. Hallituksen esityksen (HE 78/2012 vp) mukaan luottolaitosten tulisi tehdä selvitys myös määrällisesti pienempien luottojen yhteydessä. Etenkin tilanteissa, jossa luottoaika on lyhyt ja se on maksettava takaisin kertaluontoisena lyhennyksenä, sillä tällaiset luotot voivat aiheuttaa kuluttajille velkaongelmia. Poikkeuksena on kuitenkin tilanteet, joissa luottolaitos tuntee asiakkaan pidemmältä ajalta ja sillä on tämän vuoksi syytä olettaa, että asiakkaalla on edelleen kyky täyttää taloudelliset sitoumukset.163 Hallituksen esityksessä (HE 78/2012 vp) todetaan, että luottolaitoksen on kohtuullisin toimenpitein varmistettava asiakkaan antamien tietojen oikeellisuus. Tulotietojen varmistamiseksi tulisi tilanteen mukaan pyytää asiakkaalta palkkatodistusta. Riittävää ei 161 HE 78/2012 vp. 162 VHO S 21/984. 163 HE 78/2012 vp, s. 18. 58 ole asiakkaan itse lisäämä tieto lainahakemukseen tietyn suuruisista tuloista. 164 Kuten luvussa 4.2 käsitellyssä hovioikeuden tuomiossa todettiin, oli luottolaitos laiminlyönyt velvollisuutensa selvittää A:n tulojen ilmoitetun määrän oikeellisuuden ja ottanut riskin asiakkaan maksukyvyttömyydestä. Vaikka riskiperusteisen arvioinnin tarkoituksena on tunnistaa rahanpesulain 2 luvun 3 §:n mukaan rahanpesun ja terrorismin rahoittamisen riskit ja arvioida asiakkaita tästä näkökulmasta, voidaan riskiperusteinen arviointi nähdä myös luottolaitoksen liiketoiminnan perustoimintojen ja kannattavuuden näkökulmasta. Vaasan hovioikeuden tapauksessa S 21/984 oli kyseessä satunnaisen asiakassuhteen perustaminen. Luottolaitoksen on rahanpesulain 3 luvun 2 §:n mukaan tunnistettava asiakas ja todennettava henkilöllisyys satunnaista asiakassuhdetta perustettaessa. Asiakkaan tunnistaminen eli identifiointi ja asiakkaan henkilöllisyyden todentaminen eli verifiointi takaavat luottolaitokselle luottokelpoisen ja maksukykyisen asiakassuhteen. Asiakkaasta laadittavan riskiarvion laatimista ja ylläpitämistä varten luottolaitoksella on oikeus selvittää eri tietolähteistä asiakkaasta saatavia tietoja (RPL 3:4). Sähköisen tunnistamisen riski automatisoidussa luotonmyöntöprosessissa voi liittyä sekä automatisoituun tietotekniseen prosessiin että solmittavaan asiakassuhteeseen. Edellä todetun tavoin sähköisellä tunnistamisella todennetaan henkilön henkilöllisyys sähköisesti. Koska henkilöllisyyden todentamiseen voidaan käyttää luottolaitoksen myöntämiä verkkopankkitunnuksia, liittyy verkkopankkitunnusten käyttämiseen sekä niiden huolelliseen säilyttämiseen tosiasiallinen riski automatisoidun luotonmyöntöprosessin näkökulmasta. Mikäli verkkopankkitunnusten haltija laiminlyö huolellisuusvelvoitteensa voi luottolaitos myöntää luoton väärin perustein kolmannelle henkilölle. Lisäksi vaikka tunnistaminen olisi tehty oikein ja luottolaitos voisi varmistua siitä, että luotonhakijana on tunnistautumisessa todennettu henkilö, voi luottolaitoksen vahingoksi koitua Vaasan hovioikeuden tapauksen kaltaisesti automatisoidun luotonmyöntöprosessin virhe, jossa tulotietojen oikeellisuutta ei varmistettu. 164 HE 78/2012 vp, s. 19. 59 5 Sopimusosapuolten vastuunjaosta verkkopankkitunnusten väärinkäytön ehkäisemisessä Lähtökohtaisesti sopimus- ja vahingonkorvausoikeudessa jokainen vastaa vain omasta toiminnastaan eikä kukaan ilman erityistä perustetta vastaa toisen aiheuttamasta vahingosta 165 . Hoffrén toteaa, ettei pankkitunnusten haltijalle ”synny sopimus- tai vahingonkorvausoikeudellisia maksuvelvollisuuksia pelkästään sillä, perusteella, että joku on pankkitunnuksia oikeudettomasti hyödyntäen toiminut hänen nimissään”. Mikäli kuitenkin pankkitunnusten haltija on omalla toiminnallaan aiheuttanut oikeudettoman käytön, joutuu pankkitunnusten haltija siitä vastuuseen.166 Kuluttajariitalautakunnan puheenjohtaja Ståhlberg on todennut vastuunjaon olevan kohtuuttoman jyrkkä kuluttajan ja luottolaitoksen välillä167. Surakan mukaan törkeän huolimattomuuden kynnyksen ylittyessä jää kuluttajan vahingoksi aiheutunut summa kokonaan kuluttajan vastuulle. Maksupalvelulain mukainen 50 euron vastuuraja huolimattomuustilanteissa tulee sovellettavaksi, jos väärinkäyttö on tehty kuluttajan pankkitiliä tai luottolaitoksen palveluita hyväksikäyttäen. 168 Aina maksupalvelulain vastuunjaon säädöksiä ei väärinkäyttötilanteissa sovelleta, vaan sovellettavaksi voi tulla tunnistuslaki. Esimerkkinä Surakka mainitsee pikaluotot, jotka väärinkäyttäjä voi nostaa kuluttajan vahingoksi siten, etteivät saadut varat kulje pankkitilin kautta. Tällöin luottolaitos on asiassa ulkopuolinen eikä siten ole velvollinen korvaamaan kuluttajalle aiheutunutta vahinkoa. Tunnistuslaissa ei ole säädetty kuluttajan vastuunrajoitusta, minkä vuoksi kuluttaja saattaa joutua maksamaan koko pikaluoton summan takaisin luottolaitokselle.169 165 Hoffrén, 2021, s. 292. 166 Hoffrén, 2021, s. 292. 167 Surakka, 13.9.2019. 168 Surakka, 13.9.2019. 169 Surakka, 13.9.2019. 60 eIDAS-asetuksen ja tunnistuslain tarkoituksena on ollut lisätä luottamusta sähköisesti tehtäviin transaktioihin sekä saavuttaa sähköisessä tunnistamisessa tarpeeksi korkea turvallisuustaso 170 . Tunnistusjärjestelmässä luottamuksen ja turvallisuuden voidaan todeta olevan kantavia periaatteita. Jotta luottamus ja turvallisuus toteutuvat tulee jokaisen osapuolen suorittaa järjestelmän toimivuuteen liittyvä tehtävänsä oikeanlaisesti. Riskiperusteisen arvioinnin näkökulmasta on luottolaitoksen etu, että luottolaitoksen työntekijät toimivat oikeaoppisesti, seuraavat ja arvioivat toimintaansa sekä tarvittaessa kehittävät prosessejaan entistä turvallisempaan ja luotettavampaan suuntaan. Seuraavaksi tarkastellaan luottolaitoksen eli luotonantajan sekä kuluttajan eli luotonottajan velvollisuuksia ja vastuita kuluttajaluottosopimussuhteessa. 5.1 Luotonottajan huolellisuusvelvoite Korkeimman oikeuden ratkaisussa KKO 2016:73 on kyse tunnistusvälineen, tässä tapauksessa verkkopankkitunnusten, huolimattomasta säilyttämisestä sekä niiden joutumisesta kolmannen osapuolen käsiin. A oli säilyttänyt verkkopankkitunnuksiaan huolimattomasti siten, että hänen puolisonsa B oli tiennyt tunnusten säilytyspaikan ja voinut esteettömästi päästä niihin käsiksi. B oli oikeudettomasti hakenut luottoa A:n nimissä A:n verkkopankkitunnuksilla ilman A:n suostumusta. Korkein oikeus toteaa, että A:n toiminta verkkopankkitunnusten huolimattomasta säilyttämisestä ei ollut lievää. 171 Tunnistuslain 3 luvun 27 §:n mukaan tunnistusvälineen haltija on vastuussa oikeudettomasta käytöstä, jos tunnistusvälineen oikeudeton käyttö johtuu haltijan huolimattomuudesta. Huolimattoman toiminnan arvioinnissa on otettava huomioon tunnistusvälineen säilyttäminen. Hoffrén toteaa, että ”säilytystavan tulee olla sellainen, että tunnusten päivittäinen käyttö ei tule kohtuuttoman vaikeaksi”. Tunnistusvälinettä 170 HE 74/2016 vp, s. 17. 171 KKO 2016:73. 61 voidaan säilyttää kotona, mutta se on säilytettävä sivullisilta ulottumattomissa.172 Myös perheenjäsen luetaan sivulliseksi, joten tunnusluvun säilyttäminen on tehtävä siten, etteivät perheenjäsenet pääse siihen käsiksi. Korkein oikeus toteaa ratkaisussaan, että edellä mainittu lainkohta on yleissäännös, jota ei ole sen tarkemmin määritelty lain esitöissä. Siksi korkein oikeus on päätynytkin vertaamaan luotonantajan luoton myöntämistä vahvan sähköisen menetelmän tunnistamiskeinoin luottokortin käyttöön. Kun tunnistusvälineen oikeudeton käyttö on tapahtunut haltijan huolimattomuudesta, on hän vastuussa luotosta. Korkein oikeus toteaa vielä, että vastuu tunnistusvälineen haltijalla on samanlainen kuin hänen itse tekemässä luottosopimuksessa olisi. Korkein oikeus tuomitsi A:n maksamaan jäljellä olevan luoton takaisin luottoyhtiölle, koska A oli vastuussa tunnistusvälineen oikeudettomasta käytöstä. 173 Salminen on pohtinut, kuuluuko kuluttajan huolellisuusvelvoitteeseen tarkkailla pankkitilin tilitapahtumia väärinkäyttöjen ehkäisemiseksi ja missä määrin. Salminen on tarkastellut kahta Kouvolan hovioikeuden tuomiota ja yhtä Vaasan hovioikeuden tuomiota, joissa on ollut kysymys tilinhaltijan huolellisuusvelvoitteen laiminlyönnistä. Kyseessä olevissa hovioikeuden ratkaisuissa on todettu, että tapausten aikana voimassa olleessa laissa tai pankkien sopimusehdoissa ei tilinhaltijalle ollut asetettu tilitapahtumiensa tarkkailuvelvoitetta.174 Korkein oikeus on tapauksessaan KKO 2006:81 arvioinut luottokortin haltijan huolellisuusvelvollisuutta ja todennut, että vuosina 1978- 2010 voimassa olleen kuluttajansuojalain 7 luvun 19 §:ään175 perustuvaa riskinjakomallia on sovellettava myös tilinhaltijan huolellisuusvelvoitteeseen.176Niin luottokortinhaltija kuin tilinhaltijakin voivat havaita luottokortin tai tilinkäytön oikeudettoman käytön. 172 Hoffrén, 2021, s. 305. 173 KKO 2016:73. 174 Salminen, 6.5.2014. Ks. Kouvolan hovioikeuden tuomio 5.1.2012 nro 3, Kouvolan hovioikeuden tuomio 5.1.2012 nro 4 sekä Vaasan hovioikeuden tuomio 14.3.2012 nro 310. 175 ks. Laki kuluttajansuojalain 7 luvun 19 §:n muuttamisesta 291/2010. 176 KKO 2006:81 62 Salminen toteaa, että tilinhaltijan tulee tarkkailla tilinsä tapahtumia menetelläkseen huolellisesti177. Huolellisuusvelvoitteen rikkomisen laatua arvioidaan Salmisen mukaan tilinhaltijan olosuhteisiin nähden. Lievää suuremmiksi huolellisuusvelvoitteen rikkomistilanteiksi on Kouvolan hovioikeus todennut tilanteet, joissa puolison olisi pitänyt tietää pankkitunnuksia väärinkäyttäneen puolison suuren rahankäytön eroavan perheen taloudellisesta tilanteesta. Toisessa tapauksessa, jossa puoliso ei ollut vaihtanut verkkopankkitunnusten salasanaa välittömästi saatuaan tietää toisen puolison väärinkäytöstä, huolellisuusvelvoitteen rikkominen todettiin myös lievää suuremmaksi. Vaasan hovioikeuden tapauksessa huolimattomuuden todettiin olevan lievää, sillä verkkopankkitunnuksia väärinkäyttänyt puoliso oli käyttänyt varoja huomaamattomasti rahapeleihin eikä väärinkäytön kohteeksi joutuneella puolisolla ollut syytä epäillä toisen puolison väärinkäyttöä.178 Ennen uudistetun, nykyisin voimassa olevan kuluttajansuojalain ja maksupalvelulain voimaan tuloa riskinjako pankin ja tilinhaltijan välillä väärinkäyttötilanteissa perustui tilinhaltijan ilmoitukseen pankkitunnusten tai luottokortin katoamisesta. Mikäli pankki ei saanut tällaista ilmoitusta, huolellisuusvelvoite katsottiin olevan käyttäjällä. Nykyisin tilinhaltijan vastuulla on lisäksi lievä huolimattomuus, mutta tätä vastuuta on rajoitettu maksupalvelulain 7 luvun 62 §:n mukaisesti 50 euroon, mistä voidaan päätellä, että tilinhaltija vastaa ainoastaan törkeästä huolimattomuudesta aiheutuneista vahingoista.179 Luottolaitoksille on teknologian kehittymisen vuoksi siirtynyt suurempi vastuu toteuttaa sähköinen pankkiasiointi luotettavasti ja turvallisesti. Hallituksen esityksen (HE 169/2009 vp) mukaan törkeää huolimattomuutta on maksuvälineen haltijan vakavaa varomattomuutta, joka myös osoittaa maksuvälineen hallintaan ja käyttöön liittyvien turvallisuusriskien piittaamattomuutta. Toiminta tulee 177 Salminen, 6.5.2014. 178 Salminen, 6.5.2014. 179 Salminen, 6.5.2014. 63 olennaisesti poiketa huolellisen menettelyn vaatimuksista. Arvioitaessa huolimattoman ja törkeän huolimattoman toiminnan eroa, tulee kiinnittää huomiota vahinkoriskin suuruuteen ja varotoimenpiteiden toteuttamismahdollisuuteen. 180 Aiemmin tutkimuksessa todetuin tavoin törkeän huolimatonta toimintaa on säilyttää maksukorttia ja tunnuslukua samassa lompakossa. Kuitenkin maksuvälineenä toimivan matkapuhelimen unohtaminen joukkoliikennevälineeseen ei ole törkeää huolimattomuutta, vaikka matkapuhelimen kadottamisella on huomattava riski maksuvälineen väärinkäytölle181. Pankkilautakunnan ratkaisussa FINE-026023 (2020) asiakkaan pankkikorttia oli käytetty pankkiautomaatilla oikeudettomasti. Oikeudettomilla toimilla oli aiheutettu asiakkaalle 5 300 euron vahinko. Asiakas oli tehnyt kortista sulkuilmoituksen kaksi päivää tapahtuneen jälkeen. Asiakkaan sirukorttia oli käytetty pankkiautomaatilla ja korttitapahtumat oli hyväksytty näppäilemällä kortin salainen tunnusluku automaattiin.182 Asiakkaan kertoman mukaan hänelle ennalta tuntematon henkilö oli pyytänyt apua automaatin luokse, jolloin asiakas oli jättänyt korttinsa käsilaukkuunsa auton jalkatilaan siksi aikaa. Pankkilautakunnan mukaan asiakkaan kortin tunnusluku on pystytty urkkimaan asiakkaan itse tekemän automaattinoston yhteydessä tai aiemmin hänen käyttäessään korttiaan eri kaupoissa. Pankkilautakunta huomauttaa, että näppäillessä kortin tunnuslukua, on näppäimistö suojattava esimerkiksi käden avulla, jotta sivulliset eivät saa tunnuslukua tietoonsa 183 . Tällainen toiminta kuuluu pankkilautakunnan 180 HE 169/2009 vp, s. 75. 181 HE 169/2009 vp, s. 75. 182 FINE-026023 (2020). 183 Komission delegoidussa asetuksessa (EU) 2018/389 (EUVL N:o L 69, 13.3.2018, s. 23–43) on säädetty kontaktittomasta maksutavasta, jonka myötä kortinhaltija voi maksaa ostokset maksukortilla myyntipaikassa ilman vahvaa tunnistautumista ja tunnusluvun näppäilyä NFC-teknologian (eng. near field communication) ansiosta. NFC-teknologian avulla ”lähimaksutapahtumassa tarvittavat tiedot siirtyvät maksukortin ja maksupäätteen välillä radiotaajuisen signaalin välityksellä” (Suomen pankki n.d.). Lähimaksaminen ja siihen liittyvät turvarajat (delegoidun asetuksen 2018/389 artiklan 11 mukaisesti 50 euroa) ovat osaltaan lisänneet korttimaksun turvallisuutta ja kortinhaltijan asemaa oikeudettoman käytön tilanteissa. 64 mukaan huolelliseen ja turvalliseen kortin ja tunnusluvun säilyttämiseen. Tässä tapauksessa tunnusluku on joutunut sivullisen haltuun, joten asiakkaan voidaan katsoa laiminlyöneen huolimattomuudesta tätä velvollisuutta. Kortin säilyttämisestä auton jalkatilassa käsilaukussa, pankkilautakunta toteaa, ettei lukittuunkaan autoon saisi jättää mitään arvoesineitä valvonnatta. 184 Pankkilautakunnan ratkaisun mukaan asiakas oli toiminut huolimattomasti laiminlyödessään kortin ja tunnusluvun turvallisen käyttämisen ja säilyttämisen. Kokonaisuutena arvioiden pankkilautakunta kuitenkin toteaa, ettei asiakkaan toiminta ollut törkeän huolimatonta, sillä hänen menettelynsä ei osoita hänen piittaamattomuuttaan kortin hallintaan ja käyttöön liittyviin turvallisuusriskeihin. Pankkilautakunta suosittaa, että asiakas vastaa oikeudettomasta käytöstä maksupalvelulain mukaiseen 50 euroon saakka ja pankki korvaa 50 euroa ylittävältä osin asiakkaalle aiheutuneen vahingon. 185 Pankkilautakunnan ratkaisussa FINE-041305 (2022) asiakas oli unohtanut matkapuhelimensa myyntikioskille ja sitä hakemaan palattuaan matkapuhelin oli kadonnut. Viikko tapahtumista asiakkaan pankkitililtä oli tehty 1000 euron tilisiirto. Asiakas ei ollut ilmoittanut pankille pankin mobiilisovelluksen sisältävän laitteen katoamisesta. Pankin sopimusehtojen edellyttämällä tavalla asiakkaan olisi tullut ilmoittaa matkapuhelimen katoamisesta, jotta väärinkäyttö olisi saatu estettyä.186 Pankkilautakunnan mukaan tunnustenhaltijan huolellisuusvelvollisuuksiin kuului pankkitunnusten tallella olon seuraaminen sekä katoamisilmoituksen tekeminen. Katoamisilmoituksen avulla tunnustenhaltija varmistuu siitä, ettei tunnuksia käytetä väärin hänen vahingokseen ja pankki voi tiedon saatuaan ryhtyä oikeudettoman käytön toiminnan ehkäisemiseen 187 . Pankkilautakunnan ratkaisun mukaan asiakas oli laiminlyönyt pankkitunnusten tallella olon seuraamisen velvollisuutta unohtaessaan 184 FINE-026023 (2020). 185 FINE-026023 (2020). 186 FINE-041305 (2022). 187 FINE-041305 (2022). 65 puhelimensa, jossa on pankin mobiilisovellus käytössä, myyntikioskille sekä laiminlyönyt velvollisuutensa ilmoittaa matkapuhelimen katoamisesta pankille. Mikäli asiakas olisi ilmoittanut tunnusten katoamisesta viipymättä, olisi tunnusten oikeudeton käyttö voitu tässä tapauksessa estää. Pankkilautakunnan mukaan asiakkaan menettely on ollut maksupalvelulain mukaista törkeää huolimattomuutta, minkä vuoksi Pankkilautakunta ei suosita asiassa hyvitystä asiakkaalle.188 Maksuvälineen haltijan huolellisuusvelvoitteeseen kuuluu edellä mainitut seikat huomioon ottaen velvollisuus säilyttää maksuvälinettä, kuten verkkopankkitunnuksia, muiden saavuttamattomissa, luottokorttia ja siihen liittyviä tunnistetietoja erillään ja seurata luottokortin tallessa pysymistä luottokortin voimassaoloajan. Lisäksi luottokortinhaltijan velvollisuus automaattinostoja tehdessä on suojata tunnuslukunsa siten, että se ei päädy sivullisen tietoon. Verkkopankkitunnusten haltijan on lisäksi seurattava tilinsä tapahtumia, jotta huolellisuusvelvoite täyttyy. Erittäin tärkeänä huolellisuusvelvoitteeseen lukeutuvana velvoitteena voidaan pitää katoamis- ja sulkuilmoituksen tekemistä pankille, jotta oikeudeton käyttö voidaan estää. 5.2 Luotonantajan huolellisuus- ja tuntemisvelvollisuus Tunnistusvälineen luotettavuuteen vaikuttaa itse tunnistusvälineen lisäksi muun muassa ensitunnistaminen. Mitrusen ja muiden mukaan ensitunnistamisella tarkoitetaan ”tunnistusvälineen hakijan henkilöllisyyden todentamista välineen hankkimisen yhteydessä” 189 . Tunnistuslain 3 luvun 17 §:n mukaan kuluttajan ensitunnistaminen tulee tehdä henkilökohtaisesti tai sähköisesti. Kuluttajan henkilöllisyys voidaan varmentaa viranomaisen myöntämän henkilöllisyyttä osoittavan asiakirjan perusteella tai tunnistuslaissa tarkoitetun vahvan sähköisen tunnistusvälineen avulla. Tunnistuslain 3 luvun 17 §:n mukaan tunnistusvälineen tarjoajalla on velvollisuus huolehtia siitä, että toinen tunnistusvälineen tarjoaja voi käyttää ensimmäisen 188 FINE-041305 (2022). 189 Mitrunen ja muut 2019, s. 19. 66 tunnistusvälineen tarjoajan myöntämää vahvaa sähköistä tunnistusvälinettä ensitunnistamisessa, kun kuluttaja hakee uutta vastaavaa vahvaa sähköistä tunnistusvälinettä. Mikäli tunnistusvälineen tarjoaja luottaa aiempaan ensitunnistamiseen, vastaa se ”mahdollisesta aiemman ensitunnistamisen virheellisyydestä aiheutuvasta vahingosta suhteessa vahinkoa kärsineeseen” (tunnistuslaki 3:17). Luotonantajaa sitoo kuluttajaluottosopimusta koskeva muotovaatimus. Kuluttajaluottosopimus on kuluttajansuojalain mukaan tehtävä kirjallisesti ja kuluttajalle on annettava siitä kappale (KSL 7:17.1). Luotonantaja täyttää tietojenantovelvollisuutensa laatimalla kuluttajaluottosopimuksen kirjallisesti. Kirjallisesti laadittu kuluttajaluottosopimus varmistaa sen, että sopimuksen sisältö pysyy muuttomattomana myös sopimuksen laatimisen jälkeen ja että sopimukseen voidaan myöhemmin tarpeen vaatiessa vedota. Korkeimman oikeuden ratkaisussa KKO 2016:73 luottoyhtiö ei ollut antanut kuluttajalle luottosopimusta kuluttajansuojalain 7 luvun 17 §:n 1 momentin edellyttämällä tavalla, minkä vuoksi luottoyhtiöllä ei ollut oikeutta periä kuluttajansuojalain 7 luvun 17 §:n 3 momentin mukaan luottokustannuksia. Edellä mainitun lainkohdan mukaan luottoyhtiö ei saa periä luottosuhteen korkoja tai muita maksuja kuluttajalta, mikäli niitä ei ole sovittu kuluttajasuojalain 7 luvun 17 §:n 1 momentin sopimuksessa (KSL 7:17.3). Korkein oikeus on viitannut ratkaisussaan KKO 2016:73 neuvoston kulutusluottodirektiiviin (2008/48/EY)190, jonka mukaan luottosopimukset on laadittava kirjallisina tai muulla pysyvällä tavalla191 . Muun pysyvän tavan käytäntöä ei ole Unionin tuomioistuimen tuomion mukaan tietojen antaminen asiakkaalle yksinomaan yrityksen internetsivujen kautta 192 . Tällaisella tavalla kuluttaja ei ”saa” tietoja, vaan joutuu itse aktiivisesti 190 EUVL N:o L 133, 22.5.2008, s. 66–92 191 KKO 2016:73. 192 Content Services Ltd v. Bundesarbeitskammer, C-49/11, EU:C:2012:419. 67 hakemaan tiedot yrityksen internetsivuilta, mikä ei ole kuluttajansuojasta etäsopimuksin annetun neuvoston direktiivin (97/7/EY) 5 artiklan 1 kohdan mukaista.193 Myös Turun hovioikeuden tapauksessa THO 2019:8 on kyse kuluttajansuojalain 7 luvun 17 §:n edellyttämästä vaatimuksesta. Tapauksessa luottosopimus oli kuluttajalle saatavissa ainoastaan luotonantajan omassa lainapalvelussa, jonne kuluttajan oli kirjauduttava. Turun hovioikeus katsoi, ettei luotonantaja ollut antanut luottosopimusta kuluttajalle tiedoksi kuluttajansuojalain 7 luvun 17 §:n 1 momentin mukaisesti muulla pysyvällä tavalla. Luotonantajalla ei ollut oikeutta periä kuluttajalta luottokustannuksia. Turun hovioikeus kiinnittää huomiota ratkaisussaan vielä siihen tosiseikkaan, että kuluttajalla ei voitu katsoa olevan takeita sopimusehtojen muuttumattomuudesta, kun sopimusehdot olivat luettavissa ainoastaan luotonantajan internetsivustolla. 194 Hallituksen esityksen (HE 122/2004 vp) mukaan sopimusehdot on toimitettava kuluttajalle henkilökohtaisesti, kirjallisesti tai sähköisesti tavalla, jossa kuluttaja voi tallentaa tiedot muuttumattomina. Kuluttajalla tulee olla mahdollisuus tallentaa ja toisintaa yksilöidyt sopimusehdot, jotta hän voi niihin myöhemmin vedota. Hallituksen esityksessä annetaan tietojenantovelvollisuuden täyttämisestä esimerkkinä verkkopankkipalvelussa säilytettävissä tiedoista se, että internetsivusto ohjaisi kuluttajan tallentamaan ja tulostamaan sopimusehdot. Tiedot voidaan lähettää kuluttajalle myös sähköpostitse. 195 Turun hovioikeuden tapauksessa luotonantajan internetsivusto ei ollut ohjannut kuluttajaa tulostamaan ja tallentamaan sopimusehtoja ennen sopimuksen tekemistä. Turun hovioikeus toteaa, että kuluttaja ei ollut saanut luottosopimusta kuluttajansuojalain 7 luvun 17 §:n edellyttämällä tavalla. 196 Jotta luotonantaja toimii velvollisuuksiensa mukaisesti, tulee luotonantajan ensitöikseen tunnistaa ja tuntea asiakkaansa. Asiakkaan tunnistamiseen liittyvää prosessia sekä know 193 EUVL N:o L 144, 4.6.1997, s. 19–27. 194 THO 2019:8. 195 HE 122/2004 vp, s. 24. 196 THO 2019:8. 68 your customer -periaatetta soveltamalla luotonantaja voi vähentää luottolaitokselle koituvaa riskiä esimerkiksi asiakkaan maksukyvyttömyydestä, luottotappiosta sekä imagovahingoista. Luottolaitoksen on asiakkaan tunnistamisen yhteydessä varmistuttava siitä, että ensitunnistaminen on tehty oikein ja kuluttaja on tunnistettu oikealla tunnistusvälineellä. Vaikka tunnistusvälineen tarjoaja tunnistaisi asiakkaan toimivalla tunnistusvälineellä, voi välityspalvelun tarjoajalle lähteä virheellinen tunnistustieto, joka edelleen välittyy virheellisenä asiointipalvelulle. Tämä tunnistusjärjestelmässä oleva virhe voi aiheuttaa osapuolille taloudellista vahinkoa. Luotonantajan velvollisuuksiin lukeutuu myös edellä todetuin tavoin luottosopimuksen toimittaminen henkilökohtaisesti, kirjallisesti tai sähköisesti siten, että kuluttaja voi varmistua sopimuksen sisällön muuttumattomuudesta. 5.3 Vastuunjaon arviointi riskiperusteisesta näkökulmasta Kuluttaja on huolellisuusvelvoitteen mukaisesti velvollinen säilyttämään tunnistusvälinettä huolellisesti ja käyttämään sitä varovaisesti huomioiden maksuvälineen käyttöön ja hallintaan liittyvät turvallisuusriskit. Luottolaitos on puolestaan velvollinen tunnistamaan ja tuntemaan asiakkaansa, laatimaan kuluttajaluottosopimuksen kirjallisesti ja toimittamalla sen asiakkaalle pysyvällä tavalla sekä kuluttajansuojalain 7 luvun 40 § 3 momentin huolellisuusvelvoitteen mukaisesti luomaan kuluttajalle mahdollisuuden ilmoittaa tosiasiallisesti luottolaitokselle tunnistusvälineen oikeudettomasta käytöstä. Sekä kuluttajan että luottolaitoksen vastuut luotonmyöntöprosessissa voidaan nähdä tukitoimina turvalliselle ja luotettavalle riskiperusteiselle arvioinnille. Mikäli kuluttajalla ei olisi säädetty lainmukaista huolellisuusvelvoitetta, voisi moni asiakassuhde olla luottolaitokselle korkeariskinen mahdollisen rahanpesun ja terrorismin rahoittamisen vuoksi eikä siten kannattava. Luottolaitos kärsisi tämän seurauksena tappioita, asiakaskunnan kaventumista ja lisäksi rahoitusmarkkinat kärsisi luottolaitosten kannattamattomuuden vuoksi. Toisaalta luottolaitokselle säädetyt velvollisuudet 69 vahvistavat asiakkaan luottamusta luottolaitoksia ja luotonmyöntöprosesseja kohtaan. Mikäli asiakas olisi vastuussa koko sopimussuhteesta ja sen velvoitteista ei asiakassuhteita solmittaisi liiallisen taloudellisen riskin vuoksi. Oikeudettoman käytön tilanteissa vastuu on nykyisen maksupalvelulain mukaan rajattu kuluttajalle 50 euroon, mikäli oikeudeton käyttö on tapahtunut lievästä huolimattomuudesta (maksupalvelulaki 7:62). 70 6 Johtopäätökset Tämän tutkimuksen tavoitteena oli selvittää sähköistä tunnistamista automatisoidussa luotonmyöntöprosessissa luotonantajan riskiperusteisen arvioinnin näkökulmasta. Tutkimuskohteina olivat sähköisen tunnistamisen menetelmistä verkkopankkitunnukset sekä luotonantajan riskiperusteinen arviointi luotonmyöntöprosessissa. Tutkimuksen aineisto koostui korkeimman oikeuden ratkaisuista, hovioikeuksien ratkaisuista, pankkilautakunnan ratkaisusuosituksista, kansallisesta ja kansainvälisestä lainsäädännöstä, lain esitöistä sekä oikeuskirjallisuudesta. Tässä tutkimuksen viimeisessä luvussa vastataan tutkimuksen alussa esitettyihin tutkimuskysymyksiin, esitetään vastausten perusteella johtopäätöksiä sekä samalla annetaan toimintasuosituksia automatisoitua luotonmyöntöprosessia hyödyntäville luottolaitoksille. Ensimmäisenä tutkimuskysymyksenä oli selvittää sähköisen tunnistamisen merkitystä automatisoidussa luotonmyöntöprosessissa. Luottoa hakevan henkilön henkilöllisyys on kuluttajansuojalain 7 luvun 15 §:n mukaisesti todennettava. Verifioinnilla todennetaan asiakkaan henkilöllisyys ja identifioinnilla tunnistetaan asiakas. Rahanpesulain 3 luvun 3 §:n mukaan verifiointi ja identifiointi sisältävät muun muassa tiedot asiakkaan nimestä, syntymäajasta sekä osoitteesta. Henkilön henkilöllisyys voidaan tunnistuslain mukaan tunnistaa ja todentaa vahvan sähköisen tunnistamisen tunnistamismenetelmällä. Vahva sähköinen tunnistaminen on osaltaan edesauttanut pankki- ja luottolaitostoiminnan kehittymistä vastaamaan nykypäivän vaatimuksia ja samalla mahdollistanut sen, että luotonmyöntöprosessi on voitu automatisoida ja järjestää asianmukaisesti. Sähköinen tunnistaminen on myös mahdollistanut sähköisen allekirjoittamisen, minkä avulla luottolaitos voi solmia kuluttajan kanssa kuluttajaluottosopimuksen etäyhteyden, kuten internetin, avulla. Luoton etämyynnissä sopimusosapuolten ei tarvitse olla samanaikaisesti läsnä sopimuksentekohetkellä, mikä on osaltaan vauhdittanut automatisoidun luotonmyöntöprosessin kehittymistä. Hallituksen esityksen (HE 36/2009 vp) mukaan sähköisen tunnistamisen tarkoituksena 71 on varmistaa, että etäyhteyden välityksellä toimiva palvelunkäyttäjä on tosiasiallisesti se henkilö, joka väittää olevansa197 . Sähköisellä tunnistamisella voidaan siten varmistua siitä, että tunnistettava asiakas on se, kuka väittää olevansa. Tunnistusvälineen tarkoituksena on Hoffrénin mukaan turvata sähköisen tunnistamisen luotettavuus198. Sähköisellä tunnistamisella voidaan todeta oleva merkittävä rooli automatisoidussa luotonmyöntöprosessissa. Toisena tutkimuskysymyksenä oli selvittää automatisoidussa luotonmyöntöprosessissa olevia riskejä luotonantajan näkökulmasta. Sähköisen tunnistamisen voidaan todeta olevan turvallinen ja luotettava tapa tunnistaa asiakkaan henkilöllisyys. Sähköiseen tunnistamiseen ja sen myötä automatisoituun luotonmyöntöprosessiin liittyy kuitenkin luotonantajan näkökulmasta erilaisia riskejä, jotka on luottolaitostoiminnassa otettava huomioon. Automatisoitu luotonmyöntöprosessi tapahtuu etäyhteyksien välityksellä, jolloin sähköisen oikeustoimiopin mukaisesti sopimus voidaan allekirjoittaa sähköisellä allekirjoituksella 199 . Koska sähköinen allekirjoitus tehdään sähköisen tunnistamisen tavoin tunnistusvälineen ja luomisvälineen avulla, sähköisen tunnistamisen riskit vaikuttavat myös sähköisen allekirjoittamisen aiheuttamiin riskeihin. Sähköisen tunnistamisen riskeistä ensimmäinen kohdistuu ensitunnistamiseen. Ensitunnistamisessa väärien tunnistetietojen liittäminen vääriin henkilötietoihin koituu koko prosessin kannalta suurimmaksi virheeksi ja siten automatisoidun luotonmyöntöprosessin kannalta suureksi riskiksi myöntää luotto väärin perustein. Luottolaitoksen on varmistuttava henkilön oikeasta henkilöllisyydestä ja siitä, että tunnistusväline on oikeustoimen tekohetkellä myös oikean henkilön hallinnassa. Toisena riskinä onkin tunnistusvälineen hallinnan menettäminen, jolloin tunnistusväline joutuu kolmannen osapuolen hallintaan. Mikäli kolmas osapuoli käyttää tunnistusvälinettä, tulee kyseeseen tunnistusvälineen oikeudeton käyttö. Kolmantena riskinä on luottolaitoksen järjestelmien tietoteknisiin ominaisuuksiin kohdistuvat puutteet. 197 HE 36/2009 vp, s.1. 198 Hoffrén, 2021, s. 313. 199 ks. luku 2.2. 72 Tietoteknisten aukkojen vuoksi automatisoitu luotonmyöntöprosessi voi olla puutteellinen siten, että järjestelmä myöntää luoton vaillinaisten tulotietojen perusteella ja siten aiheuttaa kuluttajalle taloudellista vahinkoa, kuten Vaasan hovioikeuden tapauksessa S 21/984 tapahtui200. Lisäksi tietoteknisenä haasteena on myös se, että luottosopimuksen sopimusehtojen läpikäyntiä ei tapahdu henkilökohtaisessa luottoneuvottelussa, vaan sopimusehtojen lukeminen ja niiden ymmärtäminen on kuluttajan omalla vastuulla. Automatisoidussa luotonmyöntöprosessissa riskit luotonantajan näkökulmasta voivat kohdistua myös asiakkaan luottoanalyysin ja riskikartoituksen vaillinaisuuteen tai huolimattomuuteen. Asiakkaan maksukyvyn arvioinnissa tapahtuvat virheet voivat koitua liiketaloudellisiksi tappioiksi, mikäli asiakkaan maksukyky onkin tosiasiallisesti arviota alempi tai mitätön. Asiakassuhde voi siten olla luottolaitokselle merkittävä tappio. Riskikartoituksen tarkoituksena on myös selvittää, onko asiakassuhde korkeariskinen ja voiko asiakkaalla olla riski rahapesulle tai terrorismin rahoittamiselle 201 . Kuluttajaluottosopimuksen laatiminen ainoastaan luottolaitoksen verkkopalvelussa voi koitua luotonantajan riskiksi, mikäli sopimusta ei toimiteta kuluttajalle kirjallisesti tai muulla pysyvällä tavalla ja siten, että kuluttaja voi varmistua sopimusehtojen muuttumattomuudesta. Hallituksen esityksen (HE 122/2004 vp) mukaan verkkopankkipalvelun tulisi ohjata kuluttaja tallentamaan ja tulostamaan kuluttajaluottosopimuksen sopimusehdot, jotta luotonantaja voi varmistua oman tiedonantovelvollisuuden täyttämisestä ja siten välttämään tämän riskin.202 Luotonantajan näkökulmasta riskejä kohdistuu myös kuluttajan toimintaan. Kuluttajan huolimaton toiminta tunnistusvälineen säilyttämisessä ja käyttämisessä voivat aiheuttaa taloudellisia tappioita mahdollisten tunnistusvälineiden oikeudettomien käyttöjen vuoksi. Mikäli väärinkäyttö on tehty kuluttajan pankkitiliä tai luottolaitoksen palveluita hyväksikäyttäen ja kuluttaja on toiminut huolellisesti, tulee kuluttajan maksettavaksi 200 VHO S 21/984. 201 ks. luku 3.1. 202 HE 122/2004 vp, s. 24. 73 maksupalvelulain mukaisesti 50 euroa ja loput vahingosta jäävät luottolaitoksen korvattavaksi. Mikäli kuluttaja on toiminut maksupalvelulain mukaan törkeän huolimattomasti, kuten pankkilautakunnan ratkaisussa FINE-041305 (2022) 203 , ei luottolaitos ole velvollinen korvaamaan vahinkoa. Tunnistusvälineen oikeudeton käyttö ei kuitenkaan aina tule luottolaitoksen korvattavaksi. Mikäli väärinkäyttäjä nostaa pikaluoton siten, että raha ei kulje pankkitilin kautta, on luottolaitos näissä tapauksissa ulkopuolinen eikä joudu korvaamaan kuluttajan vahingoksi aiheutunutta vahinkoa204. Kolmantena tutkimuskysymyksenä oli selvittää, miten luotonantaja voi omalla toiminnallaan ennaltaehkäistä verkkopankkitunnusten väärinkäyttöä. Luotonantaja voi ensisijaisesti varmistaa, että henkilön ensitunnistaminen on tehty oikein. Varmuuden saaminen siitä, että luottoa hakeva henkilö on tosiasiallisesti se, joksi itseään väittää on koko automatisoidun luotonmyöntöprosessin ja sähköisen tunnistamisen ydin. Rahanpesulain 3 luvun 11 §:n mukaan etätunnistamistilanteissa asiakkaan henkilöllisyyden todentaminen ja asiakkaan antamien tietojen oikeellisuus voidaan tarkistaa julkisista rekistereistä ja muun muassa siten varmistua asiakkaan oikeasta henkilöllisyydestä. eIDAS-asetuksen mukaisesti sähköisen tunnistamisen menetelmien tarkoituksena on ollut vähentää henkilöllisyyden väärinkäyttöä ja väärinkäytön riskiä. Henkilöllisyyden ja sähköisen tunnistamisen menetelmien väärinkäytön suurin riski luotonantajan näkökulmasta on tunnistustietojen hallinnassa vaadittavien tietojen joutuminen vääriin käsiin. Toisessa maksupalveludirektiivissä määritellyt vahvan sähköisen tunnistamisen perustana olevat tekijät ovat tieto, hallussapito sekä erityinen ominaisuus. Mikäli jokin näistä tiedoista joutuu kolmannen käsiin, on lähes mahdotonta erottaa väärinkäyttäjän tekemä tunnistus ja sähköinen allekirjoitus alkuperäisen haltijan tekemästä tunnistuksesta ja sähköisestä allekirjoituksesta. Luotonantajan riskiperusteisesta näkökulmasta sähköinen tunnistaminen automatisoidussa luotonmyöntöprosessissa on 203 ks. luku 5.1. 204 ks. luku 5. Surakka, 13.9.2019. Tunnistuslaissa ei ole säädetty vastuunrajoituksista. 74 turvallista ja luotettavaa, mikäli ensitunnistaminen on tehty oikein, sähköisessä tunnistamisessa varmistutaan henkilön oikeasta henkilöllisyydestä ja asiakkaan riskikartoituksessa saatu tieto ei viittaa korkean riskin asiakassuhteeseen. Verkkopankkitunnusten väärinkäyttöä voidaan estää oman automatisoidun luotonmyöntöprosessin kehittämisellä, know your customer -periaatetta noudattamalla sekä tehostamalla asiakkaan tuntemiseen liittyviä prosesseja. Tuntemalla omat asiakkaansa luottolaitos voi helpommin tunnistaa jatkuvan seurannan toimissaan epätavalliset transaktiot sekä ryhtyä tarvittaessa ennaltaehkäiseviin toimiin. Mitä suuremmasta luottopääomasta on kysymys, sitä painavampia tulisi asiakkaan tuntemisvelvollisuudet ja siihen liittyvät menettely sekä varotoimet olla. Luottolaitoksella tulee olla Finanssivalvonnan määräysten ja ohjeiden mukaan kirjattuna luotonmyöntöohjeissa automatisoidun luotonmyöntöprosessin edellytykset sekä luotonmyönnön enimmäisrajat. Lisäksi luottolaitoksella tulee olla luotonmyöntämisen estojärjestelmä. 205 Luotonmyöntöprosessin turvallisuutta ja luotettavuutta voidaan parantaa esimerkiksi sillä, että järjestelmä kysyy lisäselvitysten ja dokumenttien perään, eikä anna mahdollisuutta kuluttajalle virheellisen tiedon syöttämiseen 206 . Lisäksi estojärjestelmään panostamalla voidaan virheellisiltä ja turhan suurien luottojen myöntämiseltä välttyä. Luottolaitoksen tulee Finanssivalvonnan ohjeiden ja määräysten mukaan seurata asiakkaitaan ja vakuuksia, jotta ongelma-asiakkaat voidaan tunnistaa ajoissa207. Käytännössä automatisoidun luotonmyöntöprosessin kehittäminen sekä asiakkaan tuntemisvelvollisuus voisivat yhdistyä siten, että luottolaitoksen tekninen järjestelmä kysyy ennen luoton myöntämistä ns. turvakysymyksiä, joihin vain asiakas itse (ja luottolaitos) tietää vastauksen. Tällöin oikeudettomasti haettavan luoton hakeminen olisi teoriassa mahdotonta, sillä turvakysymyksen vastauksen tietäisi ainoastaan tunnistusvälineen haltija itse. Ongelmallista tällaisessa teknisessä turvatoimessa on 205 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018, s. 19. 206 ks. tapaus VHO S 21/984. 207 Finanssivalvonta, 5.3.2018. Määräykset ja ohjeet 4/2018, s. 22. 75 kuitenkin kertaluontoiset kuluttajaluotot, joita kuluttaja voi hakea entuudestaan tuntemattomasta luottolaitoksesta kerta-asiakkaana. Tällöin turvakysymys voisi toisaalta olla sidottuna tunnistusvälineeseen eikä luottolaitoksen asiakastietoihin.208 Väärinkäyttöä voidaan ehkäistä myös panostamalla luottosopimusehtoihin sekä korostamalla asiakkaan ja luottolaitoksen huolellisuusvelvoitteita koskien tunnistusvälineen säilyttämistä ja oikeudettomasta käytöstä ilmoittamista. Kuluttajansuojalain 7 luvun 40 §:n 3 momentin mukaisesti luotonantajan tulee toimia huolellisuusvelvoitteen osoittamalla tavalla siten, että tunnistusvälineen haltijalla on tosiasiallinen mahdollisuus ilmoittaa luottolaitokselle oikeudettomasta käytöstä. Oikea- aikaisesta ja välittömästi ilmoituksesta luottolaitokselle voidaan jopa pystyä estämään oikeudettoman käytön tapahtuminen, kuten pankkilautakunnan ratkaisusuosituksessa FINE-041305 (2022) olisi voitu tehdä, mikäli kuluttaja olisi ilmoittanut oman huolellisuusvelvoitteen mukaisesti anastetusta matkapuhelimesta. Ongelmalliseksi luottosopimusehtojen kehittämisessä voi muodostua se, missä määrin luottolaitos voi asettaa vakiomuotoisissa luottosopimusehdoissaan asiakkaalle pitkälle meneviä ja yksilöityjä velvoitteita huolelliseen toimintaan, ilman että sopimusehdosta muodostuu yllättävä tai ankara209. Luottolaitosten on myös hyvän pankkitavan mukaan otettava asiakkaan etu huomioon kaikessa liiketoiminnassa 210 . Täyttämällä lojaliteettivelvollisuuden ottamalla toisen sopimusosapuolen edut kohtuullisissa määrin huomioon, voi luottolaitos omalta osaltaan ennaltaehkäistä verkkopankkitunnusten väärinkäyttöä. Hyvän pankkitavan ohjeiden mukaan pankin tulee lisäksi huolehtia asiakkaidensa riittävästä perehdyttämisestä 211 . Luottolaitos voi vähentää 208 Turvakysymysten käyttöön liittynee kuitenkin samankaltainen riski kuin itse tunnistusvälineen oikeudettomassa käytössä. Mikäli turvakysymyksen vastaus joutuu kolmannen osapuolen tietoon synnyttää sekin riskin oikeudettomalle käytölle. 209 Sopimusoikeuden opilla yllättävistä ja ankarista ehdoista turvataan vakioehtojen laatijan vastapuolen oikeudellista asemaa. Sopimuksen laatija ei saa käyttää toisen sopijapuolen ymmärtämättömyyttä tai perehtymättömyyttä laatimalla sopimusehdoiksi omaa etuaan edistäviä ehtoja. Karttunen ja muut., 2015, s. 170. 210 Finanssiala ry, 18.11.2015. Hyvä pankkitapa -ohje, kohta 2. 211 Finanssiala ry, 18.11.2015. Hyvä pankkitapa -ohje, kohta 7. 76 verkkopankkitunnusten väärinkäytön riskiä perehdyttämällä asiakas sille myönnetyn maksuvälineen tai tunnistusvälineen huolelliseen ja turvalliseen käyttämiseen sekä säilyttämiseen. Monien luottolaitosten luotonmyöntöprosessi edellyttää kuluttajan hyväksymään sopimusehdot rastittamalla ruudun, mikä viestittää luottolaitoksella, että asiakas on lukenut ja hyväksynyt sopimusehdot. Haasteellista on tietää, ovatko asiakkaat tosiasiallisesti tutustuneet sopimusehtoihin 212 . Tehostaakseen sopimusehtojen ymmärrettävyyttä ja luettavuutta luottolaitoksen tietotekninen palvelujärjestelmä voisi erikseen ilmoittaa ponnahdusikkunoilla pidemmän aikavälin toimintavelvoitteet, jotta asiakas todella ymmärtää omat velvollisuutensa sopimuksen sopijapuolena. Automatisoidun luotonmyöntöprosessin hyötyjä voidaan todeta olevan kustannustehokkuus, sopimuksen solmimisen helppous, palveluiden tavoitettavuus sekä dokumentoinnin automatisointi213 . Lisäksi sähköinen tunnistaminen, automatisoidun luotonmyöntöprosessin erilaisten riskien tiedostaminen ja niihin varautuminen sekä verkkopankkitunnusten väärinkäytön ehkäiseminen lisäävät osaltaan finanssialan ja luottolaitosten luotettavuutta, kannattavuutta ja tehokkuutta. Toiminnan järjestäminen mahdollisimman luotettavaksi ja turvalliseksi voidaan nähdä erityisesti luottolaitoksen intressien mukaisena toimintana. 212 Ks. KKO 2015:93, jossa todettiin, että kuluttajan asemassa olevat sijoittajat eivät välttämättä tutustu perusteellisesti heidän saatavilla olevaan markkinointiaineistoon. 213 ESMA, 4.12.2015. Vaikka ESMAn artikkeli kertoo sijoitusneuvonnan hyödyistä, voidaan niitä soveltaa myös automatisoituun luotonmyöntöprosessiin niitä yhdistävän automatisoinnin vuoksi. 77 Lähteet Aarnio, A. (2006). Tulkinnan taito. Ajatuksia oikeudesta, oikeustieteestä ja yhteiskunnasta. WSOY. Anttila, T. (1996). Pankki, riskit ja sääntely. Oikeustieteellinen tutkimus mahdollisuuksista sääntelyllä hallita pankin riskejä. Lakimiesliiton kustannus. Gummerus Kirjapaino Oy. Aurejärvi, E. & Hemmo, M. (2004). Luotto-oikeuden perusteet. Talentum. Digi- ja väestötietovirasto. (n.d.). Kansalaisvarmenne ja sähköinen henkilöllisyys. Noudettu 24.4.2023 osoitteesta https://dvv.fi/kansalaisvarmenne-ja-sahkoinen- henkilollisyys Finanssiala ry. (21.4.2022). Pankkivuosi 2021. Noudettu 13.1.2023 osoitteesta https://www.finanssiala.fi/julkaisut/pankkivuosi-2021/ Finanssivalvonta. (5.9.2018). Peruspankkipalvelut. Noudettu 20.10.2022 osoitteesta https://www.finanssivalvonta.fi/kuluttajansuoja/pankkipalvelut/peruspankkipal velut/ Finanssivalvonta. (8.12.2022). Finanssisektorin vakavaraisuus 30.9.2022: Toimintaympäristön synkentyneet näkymät korostavat vakavaraisuuden, riskienhallinnan ja sisäisen valvonnan merkitystä. Noudettu 19.2.2023 osoitteesta https://www.finanssivalvonta.fi/tiedotteet-ja- julkaisut/lehdistotiedotteet/2022/finanssisektorin-vakavaraisuus-30.9.2022- toimintaympariston-synkentyneet-nakymat-korostavat-vakavaraisuuden- riskienhallinnan-ja-sisaisen-valvonnan-merkitysta/ Fine. (2022). Turvallisuus ja tietoturva. Noudettu 27.9.2022 osoitteesta https://www.fine.fi/naissa-asioissa-autamme/pankkiasiat/turvallisuus-ja- tietosuoja.html Fungácová, Z., Toivanen, M. & Tölö, E. (11.11.2015). Pankkisektori muutoksen kynsissä. Euro ja talous. Noudettu 19.2.2023 osoitteesta https://www.eurojatalous.fi/fi/2015/artikkelit/pankkisektori-muutoksen- kynsissa/ 78 Helpinen, V. (14.9.2022). Lukuisilta S-pankin tileiltä on viety rahaa laittomasti – Poliisi: maksuvälinepetoksia ainakin 53, tietomurtoja noin 150. Yle. Noudettu 28.9.2022 osoitteesta https://yle.fi/uutiset/3-12623785 Hemmo, M. (2001). Pankkioikeus. Talentum Media Oy. Hemmo, M. (2003). Sopimusoikeus 1. Talentum. Hemmo, M. & Hoppu, O. (1.8.2022.) Sopimusoikeus. Alma Talent Oy. Päivittyvä verkkojulkaisu. Noudettu 12.4.2023 osoitteesta https://verkkokirjahylly- almatalent- fi.proxy.uwasa.fi/teos/HAHBGXCTDG#kohta:VIIME((20)MUUTOKSET/piste:tP Hirvonen, A. (2011). Mitkä metodit? Opas oikeustieteen metodologiaan. Yleisen oikeustieteen julkaisuja 17. Helda. Noudettu 27.9.2022 osoitteesta http://hdl.handle.net/10138/225264 Hoffrén, M. (2021). Keskinäinen luottamus ja kolmas: verkkopankkitunnusten haltijan vastuu tunnusten oikeudettomasta käytöstä perhepiirissä. Teoksessa Weckström, K., Niemi, M., Mäki-Petäjä-Leinonen, A. & Huuhtanen, J. (toim.) Modernit perhesuhteet ja oikeus (s. 291–317). Alma Talent. Hoffrén, M. (21.6.2021). Täyttämis- vai vahingonkorvausvastuuta? Fine. Noudettu 24.4.2023 osoitteesta https://fine50.fine.fi/artikkelit/tayttamis-vai- vahingonkorvausvastuuta.html Huhtamäki, A. (1993.) Luotonantajavastuu. Lender Liability Suomessa – velvoiteoikeudellinen tutkimus luotonantajan vastuusta luotonottajaa kohtaan erityisesti USA:n oikeuteen verrattuna. Lakimiesliiton kustannus. Gummerus Kirjapaino Oy. Huhtamäki, A. (2007). Luotonantajavastuun kehityksestä suomessa 1992–2007. Teoksessa Tuomisto, J. (toim.) Sopimus, vastuu, velvoite: juhlajulkaisu, Ari Saarnilehto 1947–21/11–2007. Turun yliopisto. Häyhä, J. (1996). Lojaliteettiperiaate ja sopimusoppi. Defensor legis, 3/1996, s. 313–327. Karttunen, T., Laasanen, H., Seppel, L., Uitto, T. & Valtonen, M. (2015). Juridiikan perusteet. SanomaPro. 79 Kuluttajariitalautakunta. (14.6.2019). Pankkitunnistamisen riskit kasvaneet. Noudettu 27.9.2022 osoitteesta https://www.kuluttajariita.fi/fi/index/tietoameista/tiedotteet/2019/pankkitunni stamisenriskitkasvaneet.html Lähdevuori, I. (30.12.2005). Know your customer -periaate ja asiakkaan sijoitustarpeiden selvittämisvelvollisuus. Oikeustiede-Jurisprudentia XXXVIII:2005, s. 261–335. Edilex. Rajattu pääsy. Noudettu 20.1.2023 osoitteesta https://www-edilex- fi.proxy.uwasa.fi/oikeustiede/83570004? Mitrunen, J., Salovaara, T. & Viskari, J. (8.3.2019). Sähköinen tunnistaminen: Selvitys nykytilasta sekä -kehittämistarpeista. Valtiovarainministeriön julkaisuja 2019:20. Noudettu 17.03.2023 osoitteesta http://urn.fi/URN:ISBN:978-952-367-000-6 Mobiilivarmenne. (n.d.). Näin käytät mobiilivarmennetta. Noudettu 24.4.2023 https://mobiilivarmenne.fi/nain-se-toimii/ Muukkonen, P. J. (1993). Sopimusoikeuden yleinen lojaliteettiperiaate. Lakimies, 91 (1993): 7, s. 1030–1048. Niemi, M-L. (2013). Hyvän luotonantotavan ja hyvän perintätavan sääntely sekä vastuullisuuden velvoite kuluttajaluotoissa. Defensor Legis, 5/2013, s. 827–839. Niemi, M-L. (2014). Luotto-oikeus. Luottotyypit, perintäprosessit ja takaisinsaanti. Talentum. Niemistö, E. (12.9.2022). Pohjanmaan poliisi varoittaa verkkopankkitunnuksia kalastelevista huijareista: "Poliisi ei koskaan pyydä pankkitunnuksia". Yle. Noudettu 27.9.2022 osoitteesta https://yle.fi/uutiset/3-12619804 Oikeusministeriö. (2003). Ehdotus rahoituspalveluiden etämyyntiä koskevan direktiivin täytäntöön panemiseksi. Työryhmämietintö. Lausuntoja ja selvityksiä 2003:37. Ponka, I. (2013). Sähköinen tunnistaminen ja allekirjoitus Suomen velvoiteoikeudessa. Unigrafia Oy. Salminen, J. (6.5.2014). Puolison käyttäytyminen, verkkopankkitunnukset ja huolellisuusvelvoite: Milloin pankkitilinsä tilannetta tarvitsee seurata? Oikeustieto, 2/2014, s. 13–16. 80 Savolainen, J. (11.1.2021). Asiakkaan tunnistaminen, huijaukset ja korona näkyivät yhteydenotoissa FINE Vakuutus- ja rahoitusneuvontaan. Edilex. Rajattu pääsy. Noudettu 28.12.2022 osoitteesta https://www-edilex- fi.proxy.uwasa.fi/uutiset/67266?allWords=Asiakkaan+tunnistaminen%2C+huijau kset+ja+korona+&offset=1&perpage=20&sort=relevance&searchSrc=1&advanc edSearchKey=1077598 Suomi.fi. (10.8.2020). Onnistuneiden tunnistustapahtumien lukumäärä. Noudettu 14.11.2022 osoitteesta https://www.suomi.fi/palvelut/verkkoasiointi/suomi-fi- palveluhallinta-digi-ja-vaestotietovirasto/6a943149-7d6b-4585-916f- 48cdb3974450 Suomen pankki. (n.d.) Lähimaksaminen: kätevä tapa maksaa. Noudettu 27.4.2023 osoitteesta https://www.suomenpankki.fi/globalassets/fi/raha-ja- maksaminen/maksujarjestelmat/suomen-pankki-katalystina- maksuneuvosto/fi_contactless_payments_leaflet.pdf Suomen Pankki. (18.2.2023). Euribor korot. Noudettu 19.2.2023 osoitteesta https://www.suomenpankki.fi/fi/Tilastot/korot/kuviot/korot_kuviot/euriborkor ot_pv_chrt_fi/ Surakka, J. (13.9.2019). Kuluttajariitalautakunta: Pankkitunnistamisen riskit kasvaneet. Edilex. Noudettu 3.3.2023 osoitteesta https://www.edilex.fi/uutiset/61253?allWords=verkkopankki&offset Taxell, L. E. (1977). Om lojalitet i avtalsförhållanden. Defensor legis, 58/1977, s. 150–155. Tietosuojavaltuutetun toimisto. (2022). Automaattinen päätöksenteko ja profilointi. Noudettu 13.10.2022 osoitteesta https://tietosuoja.fi/automaattinen- paatoksenteko-profilointi Tieteen termipankki. (2022). Oikeustiede: reaalisopimus. Noudettu 13.10.2022 osoitteesta https://tieteentermipankki.fi/wiki/Oikeustiede:reaalisopimus. Välimäki, O. (2014). Kovenantit. Rahoitussopimuksen kovenanttiohjaus. Vakuuden arvioinnista kohti sopimusoikeudellisia riskienhallintamekanismeja. Tarkasteltavana erityisesti informaatio ja kumppanuus. Lakimiesliiton kustannus. Wilhelmsson, T. (2008). Vakiosopimus ja kohtuuttomat sopimusehdot. Talentum. 81 Wuolijoki, S. (2022). Pankkioikeus I. Alma Talent. 82 Virallislähteet 29 artiklan mukainen tietosuojatyöryhmä. (3.10.2017). Suuntaviivat automatisoiduista yksittäispäätöksistä ja profiloinnista asetuksen (EU) 2016/679 täytäntöön panemiseksi. Tietosuojavaltuutetun toimisto. Noudettu 14.10.2022 osoitteesta https://tietosuoja.fi/documents/6927448/8316711/Automaattinen+p%C3%A4 %C3%A4t%C3%B6ksenteko/28ae24f4-3345-4fb2-8708- c84abd8f57b0/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko.pdf ESMA. (4.12.2015). Joint Committee Discussion Paper on automation in financial advice. JC 2015 080. Noudettu 24.4.2023 osoitteesta https://www.esma.europa.eu/document/discussion-paper-automation-in- financial-advice Finanssivalvonta. (5.3.2018). Luottoriskien hallinta ja luottokelpoisuuden arviointi rahoitussektorin valvottavissa. Määräykset ja ohjeet 4/2018. FIVA 10/01.00/2020. Noudettu 14.10.2022 osoitteesta https://www.finanssivalvonta.fi/globalassets/fi/saantely/maarayskokoelma/201 8/04_2018/2018_04.m2.pdf Finanssivalvonta. (22.6.2010.) Asiakkaan tunteminen – rahanpesun ja terrorismin rahoittamisen estäminen. Standardi 2.4. Määräys- ja ohjekokoelma. (Muutettu 25.11.2015). Noudettu 14.10.2022 osoitteesta https://www.finanssivalvonta.fi/globalassets/fi/saantely/maarayskokoelma/stan dardit/2.4/2.4.std5.pdf Finanssiala ry. (18.11.2015). Hyvä pankkitapa. Noudettu 13.10.2022 osoitteesta https://www.finanssiala.fi/wp-content/uploads/2015/12/Hyva_pankkitapa.pdf HE 122/2004 vp. Hallituksen esitys Eduskunnalle laeiksi kuluttajansuojalain ja eräiden siihen liittyvien lakien muuttamisesta. Finlex. Noudettu 20.10.2022 osoitteesta https://www.finlex.fi/fi/esitykset/he/2004/20040122 HE 36/2009 vp. Hallituksen esitys Eduskunnalle laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista sekä eräiksi siihen liittyviksi laeiksi. 83 Finlex. Noudettu 12.4.2023 osoitteesta https://www.finlex.fi/fi/esitykset/he/2009/20090036 HE 169/2009 vp. Hallituksen esitys Eduskunnalle maksupalvelulaiksi ja eräiksi siihen liittyviksi laeiksi. Eduskunta. Noudettu 28.12.2022 osoitteesta https://www.eduskunta.fi/FI/vaski/HallituksenEsitys/Documents/he_169+2009. pdf HE 78/2012 vp. Hallituksen esitys eduskunnalle laeiksi kuluttajansuojalain 7 luvun, eräiden luotonantajien rekisteröinnistä annetun lain sekä korkolain 2 §:n muuttamisesta. Finlex. Noudettu 3.3.2023 osoitteesta https://www.finlex.fi/fi/esitykset/he/2012/20120078 HE 39/2014 vp. Hallituksen esitys eduskunnalle laiksi luottolaitostoiminnasta ja eräiksi siihen liittyviksi laeiksi. Finlex. Noudettu 13.10.2022 osoitteesta https://finlex.fi/fi/esitykset/he/2014/20140039 HE 77/2016 vp. Hallituksen esitys eduskunnalle laeiksi kuluttajansuojalain muuttamisesta, asunto-omaisuuteen liittyvien kuluttajaluottojen välittäjistä ja eräiden luotonantajien ja luotonvälittäjien rekisteröinnistä sekä eräiksi niihin liittyviksi laeiksi. Eduskunta. Noudettu 13.10.2022 osoitteesta https://www.eduskunta.fi/FI/vaski/HallituksenEsitys/Documents/HE_77+2016.p df HE 228/2016 vp. Hallituksen esitys eduskunnalle laiksi rahanpesun ja terrorismin rahoittamisen estämisestä, laiksi rahanpesun selvittelykeskuksesta sekä eräiksi niihin liittyviksi laeiksi. Finlex. Noudettu 20.1.2023 osoitteesta https://www.finlex.fi/fi/esitykset/he/2016/20160228.pdf HE 237/2020 vp. Hallituksen esitys eduskunnalle laeiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain muuttamisesta sekä vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain muuttamisesta ja väliaikaisesta muuttamisesta annetun lain voimaantulosäännöksen muuttamisesta. Eduskunta. Noudettu 21.10.2022 osoitteesta 84 https://www.eduskunta.fi/FI/vaski/HallituksenEsitys/Documents/HE_237+2020. pdf HE 133/2022 vp. Hallituksen esitys eduskunnalle digitaalista henkilöllisyyttä koskevaksi lainsäädännöksi. Eduskunta. Noudettu 20.1.2023 osoitteesta https://www.eduskunta.fi/FI/vaski/HallituksenEsitys/Documents/HE_133+2022. pdf Valtioneuvoston asetus 929/2021. Valtioneuvoston asetus menettelyistä asiakkaan tuntemiseksi ja riskitekijöistä rahanpesun ja terrorismin rahoittamisen estämisessä 929/2021. Finlex. Noudettu 3.3.2023 osoitteesta https://www.finlex.fi/fi/laki/alkup/2021/20210929 85 Oikeustapausluettelo EU-tuomioistuin Content Services Ltd v. Bundesarbeitskammer, C-49/11, EU:C:2012:419. Korkein oikeus KKO 2006:81 KKO 2016:73. KKO 2018:71. Hovioikeus THO 2019:8 VHO S 21/984 Kouvolan HO 5.1.2012 nro 3 Kouvolan HO 5.1.2012 nro 4 Vaasan HO 14.3.2012 nro 310 Pankkilautakunnan ratkaisusuositukset FINE-041305 (2022) FINE-026023 (2020)