Iidan nimissä tilattiin 1 750 euron puhelin, josta alkoi absurdi tapahtumaketju – DNA: ”Muutama muukin tapaus”

Tammikuun 9. päivä postiluukusta kilahti ensimmäinen erä iPhone Pro 15 -puhelimen osamaksusta. Maksusopimus on tehty kolmelle vuodelle ja puhelimen hinta on kokonaisuudessaan lähes 1 750 euroa. Iidalle tämä tuli yllätyksenä, koska hän ei ole uutta puhelinta ostanut.

Iidan nimi on muutettu, mutta hänen henkilöllisyytensä on toimituksen tiedossa.

DNA:n asiakaspalvelu kehotti asiakastaan tekemään rikosilmoituksen. Iida soitti myös pankkiin ja sulki verkkopankkitunnuksensa. Seuraavaksi hän otti sähköpostitse yhteyttä DNA:han, jotta voisi täydentää rikosilmoitusta ja ilmoittaa tilauksen noutopisteen, sekä tilausvahvistuksessa käytetyn sähköpostiosoitteen ja puhelinnumeron.

”DNA:n vastaus löi minut ällikällä. Kävi ilmi, että he eivät suostu luovuttamaan minulle pyytämiäni tietoja. Halusin tietenkin tietää tarkemmin, mihin linjaus perustuu. Ajattelin asian selviävän viimeistään, kun poliisi pyytää kyseisiä tietoja esitutkinnassa”, Iida kertoo.

”Huomattavaa omaisuusvahinkoa ei ole tapahtunut” – Esitutkinta keskeytettiin

Poliisi keskeytti esitutkinnan kaksi päivää myöhemmin. Perusteluna oli se, että riittävää selvitystä ei toistaiseksi ole saatu. Päätöksessä vedottiin myös siihen, että vaikka rikoksen seuraukset ovat tapahtuneet Suomessa, tarkempi tapahtumapaikka ja rikoksesta epäilty eivät ole tiedossa.

Esitutkinnan keskeyttämispäätöksessä todettiin myös, ettei Suomen poliisilla ei ole toimivaltaa suorittaa esitutkintaa toisen valtion alueella. Koska DNA ei kuitenkaan toimita tilauksia Suomen ulkopuolelle, tämä kyseinen rikos on tapahtunut Suomessa.

”Päätöksessä lukee, ettei kyse ole vakavasta rikoksesta, koska vammoja tai huomattavaa omaisuusvahinkoa ei ole tapahtunut. Voisin tehdä päätöksen mukaan oikeusapupyynnön. Siinä tosin kehotetaan harkitsemaan tarkasti, onko sen tekeminen rikoksen selvittämisen kannalta välttämätöntä, koska pitäisi ottaa huomioon pyynnön täyttämisestä aiheutuva työmäärä suhteessa saavutettavaan hyötyyn.”

DNA ei anna rikoksesta lisätietoja

Päätöksen jälkeen Iida yritti saada rikoskomisariota kiinni ja kertoa, ettei DNA suostu antamaan rikoksesta lisätietoja asianomistajalle, ainoastaan suoraan poliisille.

Hän lähetti esitutkinnan keskeyttämispäätöksen DNA:lle ja kertoi, ettei poliisi edistä esitutkintaa, koska DNA ei suostu antamaan hänelle tarvittavia tietoja rikosilmoituksen täyttöä varten. Tässä vaiheessa DNA:n asiakaspalvelu pesi kätensä ja kertoi, että viranomaisosasto hoitaa asiaa.

Kun Iida kirjautui DNA:n käyttäjätililleen uudet pankkitunnukset saatuaan, hänen pyytämänsä tilaajatiedot, sähköpostiosoite, puhelinnumero ja noutopaikka, olivat kuitenkin nähtävillä.

Miksi operaattori ei ollut antanut tietoja pyydettäessä? Asiakaspalvelun kanssa asioimisen Iida koki muutenkin vaikeaksi, koska yhteydenottoihin vastasi aina uusi asiakaspalvelija. Juristina hän tietää itse kuluttajan oikeuksista jo lähtökohtaisestikin enemmän kuin moni muu.

Iida tiedusteli, kuinka tapaus etenee, yrittäen saada DNA:n lakiosaston tai jonkun muun yhteyshenkilön tietoja, mutta hän ei saanut vastausta.

”Verkkopankistani ei ole hyväksytty ostoa tai tehty tunnistautumista kyseisenä päivänä”

Poliisi avasi esitutkinnan uudelleen, kun sai tarvittavat tilaajatiedot Iidalta. Samaan aikaan hän tiedusteli pankilta, miltä laitteilta pankkitunnuksia on käytetty päivänä, kun puhelin tilattiin.

Vastaus yllätti.

”Verkkopankistani ei ole hyväksytty ostoa tai tehty tunnistautumista kyseisenä päivänä, mutta silti DNA:n verkkokaupasta on tilattu tuote vahvalla tunnistautumisella. Se herättää kysymyksen, onko heillä isompi ongelma tietoturvassa – varsinkin kun poliisi kertoi minulle soittaessaan, että vastaavia tapauksia on ollut”, hän sanoo.

Asiakas jätettiin yksin, mutta laskut löytävät perille joka kuukausi. DNA vaatii häneltä maksua, vaikka ei suostunut edes kertomaan minne tilaus on lähetetty.

”DNA lähettää edelleen laskuja. Joudun reklamoimaan jokaisen laskun ja pyytämään perintäkieltoa erikseen. Juristina voin kyllä sanoa, että sen pitäisi lain mukaan riittää, että olen reklamoinut koko tilauksen kerran.”

Muutamia vastaavia tapauksia on tiedossa

DNA:n petostentorjuntapäällikkö Ilkka Tuominen selvittää ja koordinoi toimenpiteitä huijausten estämiseksi ja selvittämiseksi. Hän ei ota kantaa yksittäistapauksiin, mutta muutamia vastaavia tapauksia on DNA:n tiedossa.

”Tyypillisesti asiakkaan identiteetin varastamiseen käytetään tarinaa, jolla hänet saadaan tunnistautumaan pankkitunnuksilla tekstiviestillä tai sähköpostilla tulleen huijausviestin linkkiin. Huijari on automatisoinut prosessin niin, että samalla hetkellä tehdään ostotapahtuma jossain verkkokaupassa. Tällä hetkellä uskotaan, että tämä on syy, miksi tämän kaltaisia tilauksia on päässyt läpi.”

Tuominen huomauttaa, että jos pankkitunnukset päätyvät vääriin käsiin, vahingot voivat olla merkittävät.

”Kun sähköisillä tunnistautumisvälineillä on tunnistauduttu, olemme vahvaan tunnistautumiseen uskoneet. Asiakkaalla ei ole mahdollisuutta ilmoittaa vääriin käsiin joutuneista pankkitunnuksista, koska vääriin käsiin päätyminen tapahtuu samalla hetkellä ostotapahtuman kanssa.”

Jos huomaa, että tunnuksia on käytetty luvatta, on syytä ilmoittaa siitä välittömästi omaan pankkiin. Jos kyseessä on mobiilivarmenne, yhteys on otettava operaattoriin.

Onko uhri velvollinen maksamaan?

Miksi DNA ei antanut asianomistajalle rikoksen tehneen tilaaja tietoja?

Tuominen vetoaa yksityisyydensuojaan koskevaan lainsäädäntöön, mutta ei yksilöi, että mihin tarkalleen ottaen. Hänen mukaansa on myös mahdollista, että kyseisessä tilanteessa DNA joutuisi itse huijaamisen uhriksi, mutta tarkkaa käsitystä vastauksesta ei saanut, että miten.

Kysytään tietosuoja-asetuksesta apulaistietosuojavaltuutettu Annina Hautalalta. Hautala ei ota kantaa suoraan tapaukseen, mutta antaa kommentin yleisellä tasolla.

”Tietosuoja-asetus edellyttää, että rekisterinpitäjä käsittelee henkilötietoja ainoastaan lainmukaisiin ennalta määriteltyihin käsittelytarkoituksiin. Tämä voi rajoittaa rekisterinpitäjän mahdollisuutta myös luovuttaa tietoja ulkopuolisille. Henkilöllä ei välttämättä ole oikeutta saada yritykseltä asiakkaiden henkilötietoja, vaikka asiakastapahtuma on syntynyt esimerkiksi petoksen seurauksena”, Hautala kommentoi sähköpostitse.

Onko uhri velvollinen maksamaan rikollisen tilaamasta tuotteesta DNA:lle?

”Jokainen tapaus käsitellään tapauskohtaisesti ja tapahtumat arvioidaan DNA:lla olevien tietojen perusteella. Jos poliisilta saadaan tapausta koskevia tietoja tai syyllinen on löytynyt, kaikki otetaan huomioon”, Ilkka Tuominen vastaa.

Identiteettivarkauksia DNA on havainnut puolen vuoden aikana Tuomisen mukaan useita, eli Iidan tapaus ei ole ainutlaatuinen. Tuominen korostaa, että kyse on identiteettivarkaudesta, ei ongelmasta DNA:n tietoturvassa.

”DNA:lla ei ole ollut merkittäviä tunnistettuja tietoturvaongelmia viimeisen puolen vuoden aikana.”

Tietoturvarikosten määrä on tasaisessa kasvussa

Talous- ja petosrikoksiin erikoistunut rikoskomisario Teemu Haapala ei voi kommentoida millään tasolla toisen tutkinnanjohtajan alaisuudessa olevaa tapausta, mutta suostuu puhumaan yleisellä tasolla poliisin käytänteistä.

Tietoturvarikokset ovat viimeisen vuoden aikana olleet hänen mukaansa tasaisessa kasvussa. Poliisilla on johtolankoja selvittää rikos, mutta helppoa se ei ole.

”Yleensä sähköpostiosoitteet ovat ison kansainvälisen tarjoajan. Poliisi voi tehdä tietopyyntöjä suoraan pääkonttoriin, mutta kuka tahansa voi luoda ilmaissähköpostin keksityllä nimellä. Prepaid-liittymät ovat myös rekisteröimättömiä, mutta poliisilla on tietynlaisia mahdollisuuksia selvittää henkilöitä prepaid-liittymien takana”, Teemu Haapala toteaa.

Mitä vaihtoehtoja rikoksen uhrille jää, jos esitutkinta päätetään keskeyttää?

”Käytännössä vaihtoehdot ovat olemattomat. Asianomistajalla on toissijainen syyteoikeus, mikäli syyttäjä ei lähde asiaa ajamaan. Tosin, jos epäiltyä ei ole saatu selvitettyä, ei ole ketään kehen asianomistaja voisi lähteä kohdistamaan syytetoimia ja viemään kannetta eteenpäin käräjäoikeudessa. Käytännössä asian selvittäminen ei enää oikein onnistu.”

Vahva tunnistautuminen on kaksivaiheinen

Tyypillisemmät vahvan tunnistautumisen välineet ovat pankilta saatava pankkitunnus ja operaattorilta saatava mobiilivarmenne. Pääsääntöisesti niillä tunnistautumiseen tarvitaan kaksivaiheinen tunnistus, eli salasanan lisäksi esimerkiksi hyväksyntä sormenjäljellä tai tunnuslukulaitteella.

”Mikäli ihminen menee vielä tietojen kalastelun yhteydessä kaksivaiheisen tunnistautumisen hyväksymään, tunnukset ovat jo siirtyneet jonkun toisen käyttöön. Toinen vaihtoehto on, että henkilö tieten tahtoen luovuttaa tiedot jonkun toisen käyttöön. Meillä ei ole tiedossa tapauksia, missä kaksivaiheinen tunnistautuminen olisi oikeasti onnistuttu murtamaan, eli se vaatii aina henkilön oman aktiivisen toiminnan tietojen menettämiseksi”, Teemu Haapala sanoo.

Hänen tulkintansa mukaan käräjäoikeuden tuomioissa muutamankin tuhannen euron rikokset tuovat ensikertalaiselle yleensä vain sakkorangaistuksen. Koska hyödyn yhteiskunnalle katsotaan olevan pienempi kuin haitan, resurssien käyttöä mietitään tarkkaan.

Yhteiskunnalle 1 750 euroa ei ole paljon, mutta kansalaiselle summa on suuri.

Mitä seuraavaksi?

Iidalle ei ole jäänyt muuta vaihtoehtoa kuin odottaa poliisin esitutkinnan päätöstä. Koko tilannetta ja kuluneita kuukausia hän on kuvannut ”kafkamaiseksi”, pääasiassa DNA:n toiminnan vuoksi.

Häntä häiritsee, että DNA:n asiakaspalvelun toiminta johti ensin esitutkinnan keskeytykseen. Iida ole vieläkään saanut perusteluja operaattorilta siitä, miksi hänelle ei annettu tarvittavia tietoja rikosilmoituksen täyttöä varten. Se tuntuu kohtuuttomalta.

”Lisäksi tämä ristiriita, että tilaus on kuulemma tehty vahvalla tunnistautumisella, vaikka pankillani ei ole sellaisesta minkäänlaista jälkeä.”

Asiakkaan ja DNA:n välinen dialogi ei vaikuta ihanteelliselta.

Lue myös: Kuluttajat valittavat Gigantin toiminnasta aikaisempaa enemmän – Kuluttajavirasto on saanut jo yli 500 yhteydenottoa: ”Osuus varsin suuri”