The liability of a banking credential holder for a consumer credit agreement concluded by an unauthorized user

Abstract

This thesis examined the liability of the banking credentials holder for a consumer credit agreement concluded by an unauthorized user. Banking credentials are personal identification tools granted by banks that enable customers to log into online banking services. In addition, these credentials can be used as a strong customer authentication in third-party online services. Both legislation and online banking agreements define the credentials as strictly personal. If the credentials fell into the hands of a wrong person, the holder may face significant financial risks, since an unauthorized user is able to employ the credentials to carry out legal acts.

Using legal dogmatic research methods, the thesis explored the grounds on which the holder of online banking credentials could be held liable for a consumer credit agreement concluded by an unauthorized user and the legal nature of such liability. The thesis further assessed whether the creditor’s failure to fulfill its obligations when concluding the credit agreement affects the holder’s liability.

One of the key findings of the thesis is that the situations in which the credential holder becomes liable are explicitly defined in the Finnish Act on Strong Electronic Identification and Electronic Trust Services, Section 27. However, the wording of the law does not define the nature of the liability. The thesis analyzes legal sources supporting contractual liability (performance liability) and tort liability, ultimately concluding that the liability of the online banking credentials holder should be considered contractual in nature. This means that they are held as liable as if they had entered into the agreement themselves. The creditor’s failure to fulfill its obligations when concluding the credit agreement was not considered to have a direct effect on the credential holder’s contractual liability, except in cases where such failure results in the invalidity of the agreement.

As a conclusion, the thesis argues that current legislation treats the unauthorized use of online banking credentials in the same way as the unauthorized use of a payment card. In the case of payment cards, the liability is even limited to 50 euros, unless the cardholder has acted intentionally or with gross negligence. However, the unauthorized use of online banking credentials involves a very different type of activity and an incompatible operating environment, which should be more appropriately taken into account in the legislation.

Verkkopankkitunnukset ovat pankin myöntämä henkilökohtainen tunnistusväline, jonka avulla asiakas voi käyttää pankin sähköisiä palveluita. Lisäksi verkkopankkitunnuksia voidaan käyttää myös vahvana sähköisenä tunnistusvälineenä kolmansien osapuolten sähköisissä palveluissa. Sekä tunnistuslaissa että pankkien verkkopankkisopimuksissa tunnukset on määritelty ehdottoman henkilökohtaisiksi. Tunnusten päätyminen toisen henkilön haltuun voi aiheuttaa riskejä pankkitunnusten haltijalle, sillä oikeudeton käyttäjä voi tunnusten avulla tehdä erilaisia oikeustoimia verkossa pankkitunnusten haltijan nimissä.

Tutkielmassa selvitettiin lainopillista tutkimusmetodia hyödyntämällä, millä perusteella pankkitunnusten haltijan voidaan katsoa olevan vastuussa oikeudettoman käyttäjän tekemästä kuluttajaluottosopimuksesta, voiko luotonantajan velvollisuuksien laiminlyönti luottosopimuksen tekemisessä vaikuttaa pankkitunnustenhaltijan vastuuseen ja minkälaista oikeudellista vastuuta pankkitunnusten haltijan vastuu tällaisesta sopimuksesta on.

Tutkielman keskeisiä havaintoja on, että pankkitunnusten haltijan vastuun muodostumistilanteet on yksiselitteisesti määritelty tunnistuslain 27 §:ssä. Luotonantajan velvollisuuksien laiminlyönnillä ei katsottu olevan suoraa vaikutusta tunnusten haltijan vastuuseen sopimuksesta, pois lukien tilanteet, joissa laiminlyönti johtaa sopimuksen pätemättömyyteen. Vastuun laatua ei tunnistuslain 27 §:n sanamuodossa ole määritelty. Tutkielmassa analysoitiin eri oikeuslähteistä löytyviä täyttämisvastuuta ja vahingonkorvausvastuuta puoltavia näkökulmia, joiden perusteella pankkitunnusten haltijan vastuun katsottiin olevan täyttämisvastuuta, eli vastuuta sopimuksesta samalla tavalla kuin olisi sen itse tehnyt.

Tutkielman johtopäätöksenä esitetään, että nykylainsäädäntö rinnastaa vastuun pankkitunnusten oikeudettomasta käytöstä maksukortin oikeudettomaan käyttöön, missä vastuuta on vieläpä rajoitettu 50 euroon, ellei maksukortin haltija toimi tahallisesti tai törkeän huolimattomasti. Pankkitunnusten oikeudettomassa käytössä on kyse hyvin erilaisesta toiminnasta ja toimintaympäristöstä, mikä tulisi paremmin huomioida lainsäädännössä.