Seuranta-arvio verkkomaksamisen turvallisuudesta - suositukset luottolaitoksille

Seuranta-arvio verkkomaksamisen turvallisuudesta - suositukset luottolaitoksille

Tilimaksamiseen liittyvät petokset ja huijaukset ovat yleistyneet merkittävästi, ja samaan aikaan rikollisten käyttämät menetelmät kehittyvät. Tyypillisiä petosmenetelmiä ovat esimerkiksi pankkitunnusten kalastelu huijausviestien tai väärennettyjen verkkosivujen avulla, huijauspuhelut sekä etähallintaohjelmien avulla tehdyt tilisiirrot. Verkkomaksamisen turvallisuuden ja asiakkaan vahvan tunnistamisen teknisten ratkaisujen tulee vastata muuttuviin turvallisuusuhkiin. Turvallinen tilimaksaminen edellyttää jatkuvaa huolellisuutta sekä palveluntarjoajilta että asiakkailta.

Seuranta-arvion tausta

Finanssivalvonta selvitti loka-marraskuussa 2023 tekemällään teema-arviolla Suomessa toimivien pankkien verkko- ja mobiilipankkien sekä verkkomaksamisen turvallisuuteen liittyviä kontrolleja ja prosesseja, joilla pyritään varmistamaan asiakkaiden vahva tunnistautuminen ja maksamisen turvallisuus maksuvälineiden väärinkäytöksiä ja muita huijauksia vastaan.

Teema-arvion perusteella Finanssivalvonta suositti vuonna 2024 pankkeja kehittämään verkkopankki- ja mobiilimaksamisen kontrolleja niin, että käyttäjällä olisi mahdollisuus asettaa nykyistä monipuolisemmin turvarajoituksia tekemiinsä tilisiirtopohjaisiin maksuihin. Lisäksi Finanssivalvonta suositti pankkeja kehittämään maksujen monitorointia siten, että ne voisivat entistä tarkemmin pysäyttää maksut, jotka poikkeavat merkittävästi asiakkaan aikaisemmasta maksuhistoriasta, esimerkiksi maksun suuruuden tai sen tahon mukaan, jolle asiakas on aikaisemmin lähettänyt maksuja.

Seuranta-arvion johtopäätökset

Luottolaitokset ovat kehittäneet tilipohjaisen maksamisen turvallisuutta Finanssivalvonnan suosituksia huomioiden. Useimmat luottolaitokset kertoivat ottavansa vuoden 2025 loppuun mennessä käyttöön maksu- ja/tai päiväkohtaiset turvarajat tilisiirtopohjaisille maksuille. Useat luottolaitokset myös tarjoavat asiakkailleen mahdollisuuden asettaa maa- tai aluekohtaisia rajoituksia tilisiirtopohjaisille maksuille.

Finanssivalvonnan suosituksen mukaisesti luottolaitokset ovat parantaneet myös muita kontrollimekanismeja turvatakseen tilipohjaisia maksuja. Esimerkiksi uusien laitteiden käyttöönoton yhteyteen on lisätty viiveitä tai kehitetty muita turvallisuusmenetelmiä. Luottolaitokset ovat myös tarkentaneet lähetettävien varmennusviestien sisältöä ja muun muassa lisänneet varoituksia mahdollisista petosyrityksistä.

Finanssivalvonnan suosituksien mukaisesti luottolaitokset monitoroivat tilisiirtopohjaisia maksuja osana petostentorjuntatyötä. Tilisiirtomonitorointia kuitenkin pitää edelleen kehittää niin, että asiakkaiden käyttäytymiseen perustuvia tekijöitä lisätään monitorointiin entistä monipuolisemmin. Tämän lisäksi tarvitaan tehokkaita reaaliaikaisia toimia silloin, kun maksujen monitoroinnissa havaitaan poikkeavia tilitapahtumia.

Muista petostentorjuntaan liittyvistä toimenpiteistä luottolaitokset mainitsivat, että he ovat lisänneet petoksiin liittyvää tiedotusta asiakkaille sekä sisäisesti. Luottolaitokset ovat myös panostaneet henkilökunnan koulutukseen sekä lisänneet petostentorjuntaan henkilöresursseja.

Finanssivalvonta tunnisti vastausten ja keskusteluiden perusteella lainsäädännöllisiä haasteita, jotka saattavat rajoittaa petosten torjunnan kannalta tärkeää tiedonvaihtoa eri toimijoiden välillä. Finanssivalvonta selvittää eri viranomaisten kanssa, miten tietojen jakamisen esteet tulisi poistaa.

Luottolaitokset ilmaisivat seuranta-arviossa huolensa sosiaalisen median ja verkkosivustojen kautta leviäviin petoksiin. Niiden mukaan sosiaalisen median ja verkkosivustojen omistajat mahdollistavat huijauksia mm. sallimalla väärennettyjä mainoksia tai kalastelusivustoja ja EU:n ulkopuoliset toimijat, kuten hakukoneet ja sosiaalisen median alustat, vaikeuttavat valvontaa ja vastuuttamista. Finanssivalvonta on tietoinen näistä haasteista ja saattaa seuranta-arvion tulokset tältä osin myös Euroopan komission tietoisuuteen.

Finanssivalvonnan päivitetyt suositukset luottolaitoksille

Finanssivalvonta tunnisti seuranta-arvion yhteydessä toimialalta hyviä käytänteitä turvallisuuden parantamiseksi ja suosittaa niiden käyttöönottoa kaikkien luottolaitosten toimesta.

Tilisiirtomaksujen turvarajat

9.10.2025 voimaantulevien pikamaksamisasetuksen säädösten mukaisesti luottolaitosten on tarjottava palvelu, jossa asiakas voi itse asettaa maksu- tai päiväkohtaisen euromääräisen rajan pikamaksuille.

Finanssivalvonta suosittaa, että luottolaitokset tarjoaisivat turvarajat sekä maksu- että päiväkohtaisesti tilipohjaisille maksuille myös normaaleissa tilisiirroissa.

Tämän lisäksi Finanssivalvonta suosittaa, että luottolaitos asettaisi henkilöasiakkaiden tilisiirtopohjaisille maksuille oletusarvona maksu- ja päiväkohtaisen euromääräisen rajan, mikäli henkilöasiakas ei ole itse asettanut rajaa. Luottolaitokset voivat itse määrittää euromääräiset rajat henkilöasiakkailleen riskiperusteisesti.

Finanssivalvonta katsoo, että turvarajojen muuttaminen edellyttää vahvan tunnistamisen toteuttamista maksupalvelulain (290/2010) 85 c §:n 1 momentin 3 kohdan mukaisesti.

Muut maksamisen kontrollit

Finanssivalvonta suosittaa, että luottolaitokset parantavat myös muita maksamisen turvallisuuteen liittyviä kontrolleja, kuten esimerkiksi:

• viiveiden asettaminen tai muu vastaava turvallisuuskontrolli uuden tunnistussovelluksen asentamisen yhteydessä.
• lisävahvistuksen pyytäminen maksuissa, joissa pankin monitorointi epäilee petollista maksua.

Petosmonitoroinnin kehittäminen

Finanssivalvonta suosittaa, että luottolaitokset kehittävät reaaliaikaista petosmonitorointia niin, että monitoroinnissa käytettäisiin asiakkaan käyttäytymiseen perustuvia tekijöitä kuten esimerkiksi aikaisempaa maksuhistoriaa, maksun suuruuta, tapahtuma-aikaa, maksukanavaa, maksun vastaanottajaa tai maksajan poikkeavaa sijaintipaikkaa.

Finanssivalvonta seuraa pankeille antamiensa suositustensa toteuttamista osana normaalia valvontatyötään.

Lisätietoja antaa

Kaisa Tukiainen, vanhempi asiantuntija, kaisa.tukiainen(at)finanssivalvonta.fi

Asiasanat

Jaa tämä sisältö