S-Pankille seuraamusmaksu S-mobiilin tietoturvahaavoittuvuudesta

S-Pankille seuraamusmaksu S-mobiilin tietoturvahaavoittuvuudesta

Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt S-Pankille 1,8 miljoonan euron seuraamusmaksun tietoturvallisuuden laiminlyönnistä verkkopankin tunnistautumisessa. S-mobiili-sovelluksessa vuonna 2022 esiintyneen ohjelmistovirheen vuoksi käyttäjät olivat päässeet kirjautumaan verkkopankkiin ja vahvaa tunnistautumista käyttäviin verkkopalveluihin toisen asiakkaan tunnuksilla.

Tietosuojavaltuutetun toimisto selvitti tietoturvaloukkausta S-Pankin elokuussa 2022 tekemän ilmoituksen perusteella. Pankki oli ottanut huhtikuussa 2022 käyttöön uuden kirjautumistoiminnallisuuden S-mobiilissa. Ohjelmistossa oli ilmennyt tietoturvahaavoittuvuus, joka oli ollut hyödynnettävissä yli kolmen kuukauden ajan huhtikuusta elokuuhun.

Haavoittuvuuden vuoksi osa pankin asiakkaista joutui tietoturvaloukkauksen kohteeksi. Käytännössä haavoittuvuus koski pankin kaikkia asiakkaita. Pankkitunnusten väärinkäytökset aiheuttivat asiakkaille taloudellista vahinkoa. S-Pankki on ilmoittanut korvanneensa asiakkaille suorat menetykset.

Puutteita suojatoimissa ja tietoturvahaavoittuvuuden selvittämisessä

Tietosuojavaltuutetun toimiston selvityksessä havaittiin, että S-Pankilla ei ollut käytössä riittäviä suojatoimia henkilötietojen turvallisuuden varmistamiseksi. Pankki ei ollut testannut uutta ohjelmistoa riittävästi ennen sen käyttöönottoa, eikä se ollut havainnut haavoittuvuutta ennen kuin toiminnallisuus otettiin käyttöön. Se ei myöskään reagoinut riittävällä tavalla asiakkaidensa yhteydenottoihin, joissa ilmoitettiin poikkeamista verkkopankin kirjautumisessa.

"Tämä tapaus osoittaa, että organisaatioiden on tarpeen panostaa riittävään tietoturvaan ja testaukseen huomioiden riskit, joita niiden henkilötietojen käsittelyyn liittyy. Tämä korostuu pankkien kohdalla, koska pankkitietojen väärinkäyttö voi aiheuttaa ihmisille suuria vahinkoja", apulaistietosuojavaltuutettu Annina Hautala toteaa.

"Tällaisissa tilanteissa on toimittava nopeasti. Asiakkaiden on voitava luottaa siihen, että heidän pankki- ja tilitietonsa ovat turvassa", Hautala sanoo.

Seuraamusmaksu tietosuojavaatimusten laiminlyönnistä

Apulaistietosuojavaltuutettu katsoo, että S-pankin toiminta rikkoi EU:n tietosuoja-asetuksen vaatimuksia henkilötietojen turvallisesta käsittelystä. Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi pankille 1,8 miljoonan euron seuraamusmaksun ja apulaistietosuojavaltuutettu antoi huomautuksen tietosuojalainsäädännön vastaisesta menettelystä. Seuraamuskollegio piti seuraamusmaksun määräämistä tietosuojarikkomuksesta välttämättömänä ihmisten oikeussuojan tarpeen, asian yleisen merkittävyyden sekä tietosuojavaltuutetun S-Pankille aiemmin antaman huomautuksen vuoksi.

Finanssivalvonta arvioi S-Pankin toimintaa eri rikkomusten osalta ja määräsi toukokuussa 2025 sille 7 670 000 euron seuraamusmaksun laiminlyönneistä operatiivisten riskien hallinnassa. Seuraamuskollegio otti seuraamusmaksun määräämisessä huomioon myös Finanssivalvonnan päätöksen ja kohtuullisti seuraamusmaksun määrää sen perusteella. Tietosuojarikkomuksista annetun seuraamusmaksun määrä on noin kolmasosa summasta, joka se olisi ollut ilman Finanssivalvonnan määräämää seuraamusmaksua.

Päätös ei ole vielä lainvoimainen ja siitä voi valittaa hallinto-oikeuteen.

Seuraamuskollegion ja apulaistietosuojavaltuutetun S-pankkia koskevat päätökset Finlex-palvelussa

Lisätietoja:

Apulaistietosuojavaltuutettu Annina Hautala, annina.hautala(at)om.fi, puh. 029 566 6776

Mediayhteydenotot: viestintäsuunnittelija Sara Jaakonmäki, viestinta.tietosuoja(at)om.fi, puh. 029 566 6764

Finanssivalvonnan tiedote 23.5.2025: S-Pankki Oyj:lle 7 670 000 euron yhteinen seuraamusmaksu ja julkinen varoitus (finanssivalvonta.fi)

Tietosuojavaltuutetun toimiston tiedote 15.9.2022: Tietosuojavaltuutettu selvittää S-Pankin järjestelmähäiriötä - S-Pankki on ilmoittanut olleensa yhteydessä tietoturvaloukkauksen kohteeksi joutuneisiin asiakkaisiin