Suomalaisten verkkopankeista viety rahaa – huijaukset, tapaukset ja torjunta

Suomalaisten verkkopankeista viety rahaa on viime vuosina noussut merkittäväksi ilmiöksi, joka huolestuttaa sekä pankkien asiakkaita että viranomaisia. Verkkopankkihuijaukset ovat monimuotoistuneet ja lisääntyneet, ja niiden seurauksena suomalaiset menettävät vuosittain kymmeniä miljoonia euroja verkkorikollisille. Tässä kattavassa artikkelissa käsittelemme, millaisin keinoin huijarit ovat onnistuneet viemään rahaa suomalaisten verkkopankeista, miten ilmiö on kehittynyt eri vuosina ja millaisia tunnettuja tapauksia on paljastunut. Lisäksi tarkastelemme pankkikohtaisia esimerkkejä (muun muassa OP, Nordea, S-Pankki, Danske Bank), poliisin ja Kyberturvallisuuskeskuksen varoituksia, pankkien vastuuta ja korvauskäytäntöjä sekä mahdollisia lainsäädäntömuutoksia ja viranomaisten toimia ongelman ratkaisemiseksi. Suomalaisten verkkopankeista vietyä rahaa käsittelevä kokonaisuus tarjoaa monipuolisen kuvan aiheesta ja ohjeita, kuinka vastaavia huijauksia voi tunnistaa ja välttää.

Huijausten kehitys: suomalaisten verkkopankeista viety rahaa yhä enemmän

Verkkopankkihuijaukset alkoivat yleistyä 2000-luvun puolella jo varhain, mutta viimeisen vuosikymmenen aikana niiden määrä ja rohkeus ovat kasvaneet räjähdysmäisesti. Jo 2000-luvun alkupuolella koettiin tapauksia, joissa pankkien asiakkaita huijattiin haittaohjelmilla: esimerkiksi eräs troijalaisohjelma naamioitui pankin viestiksi ja kaappasi Nordea-pankin asiakkaiden tunnuksia vuonna 2007, mikä johti yli miljoonan dollarin (noin 0,8 milj. euron) menetyksiin. Tuolloin huijarit hyödynsivät pankkien kaksivaiheisen tunnistautumisen puutteita; tapaus herätti laajaa huomiota ja pakotti pankkeja tarkistamaan turvallisuuskäytäntöjään. Sittemmin pankit ovat ottaneet käyttöön vahvan tunnistautumisen (kuten avainlukulistat, tekstiviestivarmennukset ja mobiilisovellusten vahvistukset), mutta siitä huolimatta suomalaisten verkkopankeista viety rahamäärä on jatkanut kasvuaan huijareiden kehitellessä uusia metkuja.

Tilastot osoittavat huijausten voimakkaan lisääntymisen 2020-luvulla. Vuoden 2022 aikana suomalaiset menettivät erilaisissa digihuijauksissa yhteensä 32,4 miljoonaa euroa verkkorikollisille. Summa kasvoi huomattavasti seuraavina vuosina: Finanssiala ry:n mukaan pelkästään vuonna 2024 suomalaisilta yritettiin huijata yhteensä 107,2 miljoonan euron edestä rahaa, josta lopulta menetetyksi päätyi noin 62,9 miljoonaa euroa. Tämä merkitsee lähes kaksinkertaista kasvua verrattuna vuoden 2022 menetyksiin. Vuonna 2024 pankit myös onnistuivat estämään ja palauttamaan ennätykselliset 44,3 miljoonaa euroa huijattuja varoja, mutta siitä huolimatta kymmenet miljoonat eurot valuivat rikollisten taskuihin. Myös huijausyritysten määrä on kasvanut: vuonna 2023 huijarit yrittivät viedä suomalaisilta noin 76,9 miljoonan edestä ja vuonna 2024 jo yli 107 miljoonan edestä, mikä on 39 % edellisvuotta enemmän. Poliisi saa vuosittain useita tuhansia rikosilmoituksia digitaalisista huijauksista, ja ilmiöstä on varoiteltu pitkään.

Huijausten luonne on samalla muuttunut entistä ammattimaisemmaksi ja kansainvälisemmäksi. Vuoden 2022 tilastoissa euromääräisesti suurimmat tappiot aiheutuivat valepoliisi-huijauksista ja erilaisista tietojenkalasteluista, jotka veivät noin 10 miljoonaa euroa pelkästään vuoden 2022 jälkimmäisellä puoliskolla. Muita merkittäviä huijaustyyppejä olivat dokumenttihuijaukset ja rakkaushuijaukset (yhteensä 9 milj. €), sijoitushuijaukset (8,5 milj. €) sekä toimitusjohtajahuijaukset (4,9 milj. €). On huomionarvoista, että valepoliisi- ja pankkitunnushuijaukset lisääntyivät vuonna 2022 erityisen jyrkästi: vuoden jälkipuoliskolla näissä menetettiin lähes neljä kertaa enemmän rahaa kuin alkuvuonna. Tämä ajoittuu samaan aikaan, kun pandemia-ajan ja maailmanpoliittisten tapahtumien varjolla huijarit keksivät uusia tarinoita pelotellakseen uhreja.

Vuonna 2023 ja 2024 trendi jatkui: huijaussoittojen ja -viestien määrä kasvoi entisestään ja niistä tuli aiempaa uskottavampia. Huijaukset myös monipuolistuivat. Esimerkiksi vuonna 2024 paljastui poikkeuksellinen S-Pankkiin kohdistunut rikossarja, jossa rikolliset hyödynsivät pankin teknistä haavoittuvuutta varastaakseen rahaa suoraan tileiltä (tapauksesta lisää myöhemmin). Samanaikaisesti ns. perinteiset kalasteluhuijaukset (phishing) kasvoivat 161 % edellisvuoteen verrattuna ja muodostivat yhden suurimmista tappioiden lähteistä. Finanssialan mukaan tietojenkalastelunousi vuonna 2024 merkittäväksi uhkaksi, ja juuri näissä huijauksissa menetettiin eniten rahaa, noin 31,9 miljoonaa euroa. Kaiken kaikkiaan suomalaisilta viety raha verkkopankeista ja muissa digihuijauksissa on saavuttanut ennätyslukemat, mikä on saanut niin pankit kuin viranomaiset tehostamaan toimiaan huijausten torjumiseksi.

On tärkeä huomioida, että tilastot kertovat vain osan totuudesta: kaikki huijaukset eivät tule viranomaisten tietoon, sillä osa uhreista ei syystä tai toisesta tee rikosilmoitusta tai ilmoita pankilleen tapahtuneesta. Viranomaisten ja pankkien vetämä Varo, varmista, varoita -kampanja muistuttaakin, että jokainen voi joutua huijatuksi – häpeän tunne saa joskus uhrin vaikenemaan, mutta apua on haettava nopeasti ja huijauksista ilmoitettava aina pankkiin ja poliisille. Seuraavaksi perehdymme tarkemmin eri huijausmenetelmiin, joilla suomalaisten verkkopankeista on viety rahaa, sekä esitämme esimerkkejä tunnetuista tapauksista näiden metodien takaa.

Yleisimmät huijausmenetelmät verkkopankkirahojen viemiseksi

Verkkopankkihuijarit käyttävät useita erilaisia keinoja päästäkseen käsiksi uhrin pankkitilillä oleviin varoihin. Tyypillisimmät menetelmät ovat tietojenkalasteluviestit (sähköposti- tai tekstiviestihuijaukset), huijauspuhelut (niin kutsutut vishing- ja valepoliisihuijaukset) sekä haittaohjelmat ja tekniset huijaukset. Myös erilaiset sosiaalisen manipuloinnin muodot, kuten valeprofiileilla tehtävät lähestymiset (esim. rakkaushuijaukset) ja valeverkkokaupat, voivat johtaa verkkopankkitietojen tai rahojen varastamiseen. Alla käymme läpi tärkeimmät huijaustavat ja selitämme, miten ne toimivat suomalaisiin pankkeihin kohdistuvissa tapauksissa.

Tietojenkalasteluviestit: huijaussähköpostit ja -tekstiviestit

Phishing-huijaukset eli tietojenkalasteluviestit ovat erittäin yleinen tapa, jolla rikolliset yrittävät saada haltuunsa verkkopankkitunnuksia. Näissä huijauksissa uhrille lähetetään uskottavalta näyttävä sähköposti, tekstiviesti tai jopa sosiaalisen median viesti, joka vaikuttaa tulevan pankilta tai viranomaiselta. Viestissä usein kerrotaan esimerkiksi, että tilillä on havaittu epäilyttävää toimintaa, tilin käyttö on estetty tilapäisesti tai asiakkaan tulee vahvistaa tietonsa linkin kautta, tai muuten pankkipalvelu estyy. Viestien sävy on kiireellinen ja hätäilevä, koska huijarit tietävät, että kiireen tuntu saa ihmiset toimimaan harkitsemattomasti. Kyberturvallisuuskeskus ja poliisi ovat varoittaneet toistuvasti, että juuri kiireellisyyteen vetoaminen on huijareiden keino saada uhri pois tolaltaan – “hätiköinti saattaa kostautua” muistutetaan viranomaisten tiedotteissa.

Esimerkkejä tällaisista huijausviesteistä on nähty lukuisia. Vuoden 2025 alkupuolella liikkui paljon sähköposti- ja tekstiviestejä, joissa käytettiin S-Pankin ja Nordean nimeä; viesteissä esimerkiksi väitettiin, että käyttäjän tulisi viimeistellä avainlukulistan vahvistus tai muuten käyttö estyy. Myöhemmin keväällä 2025 viranomaiset raportoivat uusista aalloista, joissa kohteina olivat OP ja Danske Bank: OP:n nimissä lähetettiin viestejä, joissa pyydettiin suorittamaan muka jokin turvatoimi loppuun, ja Dansken nimissä taas kehotettiin vahvistamaan yhteystiedot pankkipalvelun jatkuvuuden varmistamiseksi. Kaikkia näitä yhdisti se, että viestit sisälsivät linkin sivustolle, joka ulkoisesti muistutti pankin kirjautumissivua. Linkki ohjasi uhrin huomaamattaan rikollisten ylläpitämälle valesivustolle, jossa tämän pankkitunnukset kalasteltiin talteen.

Tyypillisesti tietojenkalasteluviestin linkkiä klikkaava asiakas näkee verkkosivun, joka on lähes identtinen oikean pankin sivun kanssa. Hän saattaa syöttää huomaamattaan käyttäjätunnuksensa, salasanansa ja avainlukunsa (tai muun kertakäyttöisen tunnisteen) väärälle sivulle. Tämän jälkeen huijarit voivat käyttää näitä tunnuksia kirjautuakseen oikeaan verkkopankkiin. Vaikka suomalaisissa verkkopankeissa on vahva kaksivaiheinen tunnistautuminen, huijarit osaavat kiertää sen: esimerkiksi eräissä huijauksissa valesivusto pyysi uhria syöttämään avainlukulistasta useamman tunnuksen tai hyväksymään mobiilisovelluksessa tehtävän kirjautumisen, ikään kuin kyseessä olisi normaali toimenpide. Näin rikolliset saavat kaikki tarvittavat koodit reaaliajassa.

Huijausviestit saattavat tulla myös tekstiviestinä suoraan puhelimeen, jolloin niitä kutsutaan smishing-huijauksiksi. Tekstiviesteissä on usein lyhyt viesti ja linkki. Monesti viesti voi jopa ilmestyä samaan viestiketjuun kuin pankin aidot viestit puhelimessa, mikä lisää uskottavuutta (tämä on mahdollista lähettäjän nimen väärentämisellä). Myös näissä viesteissä on nähty samoja teemoja: vastaanottajaa uhkaillaan esimerkiksi tilin sulkemisella tai kehotetaan kiireellisesti klikkaamaan linkkiä pankkiturvallisuuden nimissä. Pankit ja poliisi muistuttavat, että pankki ei koskaan lähetä asiakkaalle linkkiä, jota klikkaamalla pyydetään antamaan tunnuksia – ei sähköpostilla, tekstiviestillä eikä WhatsAppissa. Jos tällaisen viestin saa, on lähes varmaa, että kyseessä on huijaus.

Suomessa pankit ovat toistuvasti varoittaneet asiakkaitaan kalasteluviesteistä. Esimerkiksi OP Ryhmä painotti tiedotteissaan, että he eivät koskaan pyydä tunnuksia viestillä, ja kehottivat asiakkaita suhtautumaan epäluuloisesti yllättäviin viesteihin. Kuluttajaliiton ja viranomaisten kampanjat taas neuvovat: “Älä käytä viestissä olevaa linkkiä palveluun kirjautumiseen, vaan kirjoita pankin osoite itse selaimen osoiteriville tai käytä sovellusta”. Tämä ohje on kullanarvoinen – monet huijaukset olisi estetty, jos asiakas ei koskaan klikkaisi viestissä olevaa linkkiä vaan menisi itse pankin sivulle virallista kanavaa pitkin. Samoin muistutetaan, että liian hyvältä kuulostava tarjous on harvoin totta ja aina kannattaa varoa viestejä, joissa on kiire.

Huijauspuhelut (vishing) ja valepoliisit: soittamalla pankkitunnukset haltuun

Toinen yleistynyt huijausmenetelmä on huijauspuhelu, jossa rikollinen soittaa uhrille esiintyen pankkivirkailijana, pankin turvayksikön edustajana tai jopa poliisina. Tällaisia puheluita kutsutaan englanniksi termillä vishing (voice phishing) ja suomeksi niistä on puhuttu valepankki– tai valepoliisisoittoina. Ideana on, että huijari luo puhelimitse paniikkia tai luottamusta, ja manipuloi uhrin paljastamaan verkkopankkitunnuksensa tai tekemään rahansiirtoja. Itä-Suomen poliisinalkuvuonna 2023 raportoimat tapaukset ovat hyvä esimerkki: muutaman viikon sisällä Itä-Suomessa useilta ihmisiltä onnistuttiin huijaussoitoilla viemään yhteensä kymmeniä tuhansia euroja – yksittäiset uhrit menettivät jopa 50 000–89 000 euroa kerralla.

Näissä puhelhuijauksissa soittaja väittää perättömästi olevansa pankista tai poliisista. Yleinen käsikirjoitus on seuraava: huijari soittaa ja kertoo, että uhrin pankkitilillä olevat rahat ovat vaarassa tai että uhrin nimissä on juuri haettu iso laina. Soittaja saattaa esittäytyä esimerkiksi “OP:n turvallisuusosaston työntekijäksi” tai “poliisiksi, joka tutkii pankkihuijauksia”. Hän puhuu vakuuttavasti ja usein sujuvaa suomen kieltä, mikä lisää uskottavuutta. Puheluissa käytetään pelottelutaktiikkaa: “Tililtäsi on lähdössä juuri suuri summa rahaa vieraan tilille – toimi heti tai menetät rahasi!” tai “Nimissäsi on otettu laina, joka pitää perua heti pankkitunnuksilla ennen kuin rahat nostetaan”. Uhrille uskotellaan, että ainoa tapa “pelastaa rahat” on antaa pankkitunnukset soittajalle tai siirtää rahat kiireesti “turvatilille”turvaan.

Yksi yleinen variaatio on niin sanottu turvatili-huijaus. Tässä huijari neuvoo uhria siirtämään kaikki rahansa muka pankin perustamalle erilliselle turvatilille, jotta mahdollinen verkkorikos estettäisiin. Todellisuudessa mitään turvatiliä ei ole olemassa – rahat menevät suoraan huijareille. OP Ryhmä on erikseen varoittanut kesällä 2025 yleistyneistä turvatilihuijauksista: “Pankilla ei ole turvatiliä, jolle asiakas voisi siirtää varat turvaan, vaan tällaisessa tilanteessa rahat päätyvät aina huijarille”, painottaa OP:n väärinkäytösten hallinnan päällikkö Kim Sirén. Joissain tapauksissa huijarit ovat puhelun aikana yrittäneet myös suostutella uhria antamaan Mobiiliavaimella tai muulla sovelluksella vahvistuskoodi, jolla he saavat kirjautumisen ja rahansiirrot tehtyä. Tämä on erityisen petollista, koska asiakas saattaa itse vahvistaa siirron mobiilisovelluksessa luullessaan suojaavansa rahansa, vaikka todellisuudessa hän hyväksyy huijarin tekemän tilisiirron.

Huijauspuhelut voivat olla monivaiheisia. Eräässä Itä-Suomen tapauksessa huijarit järjestivät kahden soiton ansan: ensin uhrille soitti henkilö, joka väitti olevansa Norwegian Bankin virkailija ja kertoi, että uhrin nimissä oli tehty epäilyttäviä lainahakemuksia. Heti perään puhelu “yhdistettiin” toiselle henkilölle, joka esiintyi Osuuspankin virkailijana. Tämä toinen soittaja ilmoitti auttavansa ongelman ratkaisemisessa, mutta saikin uhrin luovuttamaan verkkopankkitunnuksensa hänelle. Menetelmä on ovela: huijarit hyödyntävät usean tunnetun tahon nimeä peräjälkeen ja siten rakentavat tarinalleen uskottavuutta. Uhrin voi olla vaikea ymmärtää, että kyseessä on huijaus, kun toinen soitto vaikuttaa vahvistavan ensimmäisen tarinan. Poliisilla on tapauksia, joissa tällä keinoin on viety kymmeniä tuhansia euroja kerralla – kun uhri luovuttaa tunnukset, tililtä tyhjennetään rahat usein minuuteissa ulkomaisille tileille tai kryptovaluuttoihin.

Valepoliisihuijaukset ovat olleet erityisen tuhoisia Suomessa, kohdistuen usein iäkkäämpiin ihmisiin. Valepoliiseiksi kutsutaan huijareita, jotka esiintyvät puhelimessa poliiseina (tai pankin turvallisuushenkilöinä) ja kalastelevat tunnuksia. Vuonna 2021–2022 poliisi tutki useita laajoja valepoliisijuttuja, joissa rikollisryhmät soittivat järjestelmällisesti sadoille ihmisille. Yhdestä tällaisesta rikoskokonaisuudesta Yle julkaisi yksityiskohtia: niin sanottu “Hägerstenin kopla” oli rikollisjoukko, joka toimi Ruotsista käsin ja soitti suomalaisille vanhuksille. He valitsivat uhreja puhelinluettelon nimien perusteella – huijarit kertoivat itse poliisikuulusteluissa, että he etsivät “vanhalta kuulostavia naisten nimiä”, kuten Hilkka, Aino tai Kerttu, koska arvelivat näiden henkilöiden todennäköisemmin lankeavan ansaan. Valepoliisit hyödynsivät ajankohtaisia pelkoja: ensin puhuttiin koronapandemiasta ja myöhemmin Venäjän hyökkäyksestä Ukrainaan. Uhrille voitiin esimerkiksi väittää, että “venäläiset hakkerit ovat hyökänneet pankkiisi sodan seurauksena”, mikä kylvi pelkoa. Peitetarinasta huolimatta ydinviesti oli aina sama: “jonkun yrittää viedä rahasi tililtäsi juuri nyt, anna tunnuksesi nopeasti, jotta siirto saadaan estettyä”.

Valepoliisisoitoissa huijarit ovat usein äärimmäisen taitavia psykologiassa. He saavat uhrin paniikkiin, mutta samaan aikaan esittävät auttajaa. Moni uhri on jälkeenpäin kuvaillut, että huijari oli “erittäin vakuuttava ja selkeäsanainen” – jopa siinä määrin, että vaikka uhri tiesi periaatteessa, ettei poliisi kysy tunnuksia, hän silti lopulta antoi ne tunnekuohussa. Jotkut valepoliisit jopa neuvoivat uhreja googlaamaan soittajan nimen, jolloin uhri löysi oikean poliisin nimellä olevan henkilön (huijarit käyttivät olemassa olevien poliisien nimiä). Tämäkin kikka tehosi joihinkin: Yle kertoi tapauksesta, jossa uhri lopulta menetti lähes 60 000 euroa valepoliisille, vaikka hän aluksi oli epäluuloinen mutta myöntyi tarkistettuaan nimen ja saatuaan uuden soiton.

Kun tunnukset on saatu, rikolliset toimivat salamannopeasti. Suurissa huijausryhmissä on havaittu, että heti kun yksi jäsen saa puhelimessa tunnukset, eteenpäin on valmiina toiset rikolliset tekemään tilisiirrot ja nostamaan käteistä ns. bulvaanien tileiltä. Eräässä paljastuneessa tapauksessa rikollisverkosto toimi minuuttiaikataululla: rahat siirrettiin uhrin tililtä usealle välitilille, juoksutettiin pankkiautomaateille käteisnostoihin ja kuljetettiin käteisenä eteenpäin hierarkian huipulle – kaikki tämä saattoi tapahtua samalla, kun uhri vielä puhui huijarin kanssa puhelimessa ovella poliisia odottaen. Uhrille yleensä sanotaan lopuksi, “älä tee mitään pariin tuntiin, poliisi hoitaa asian”, jotta rikolliset saavat etumatkaa ennen kuin huijaus paljastuu.

Poliisi ja pankit painottavat jatkuvasti tiedotuksessaan, että oikeat pankkien työntekijät tai poliisit eivät koskaan kysy verkkopankkitunnuksia puhelimessa, tekstiviestillä tai sähköpostilla. Jos joku näin tekee, kyseessä on aina huijaus. Sama koskee korttitietoja ja PIN-koodeja – aito viranomainen tai pankki ei tarvitse asiakkaan tunnuslukuja missään tilanteessa. Tätä viestiä yritetään juurruttaa erityisesti ikäihmisten ja heidän omaistensa mieliin. Vuonna 2022–2023 poliisi käynnisti erityisiä kampanjoita valepoliisihuijausten kitkemiseksi, ja useita tekijöitä saatiinkin kiinni ja tuomittiin vankeusrangaistuksiin. Valitettavasti päätekijät operoivat usein ulkomailta käsin, mikä vaikeuttaa rikosvastuuseen saattamista. Itä-Suomen poliisi muistutti helmikuussa 2023, että liikkeellä on paljon juuri ulkomailta johdettuja huijaussoittoja, joiden tekijät erehdyttävät uhreja antaen tietojaan. Samalla poliisi tutkii tällaisia tapauksia törkeinä petoksina tai maksuvälinepetoksina, kun tekosarja paljastuu.

Huijauspuheluiden torjunnassa on otettu myös teknisiä askeleita. Traficom (Liikenne- ja viestintävirasto) antoi loka-marraskuussa 2023 määräyksen, joka velvoittaa teleoperaattorit estämään ulkomailta tulevat huijauspuhelut, joissa on väärennetty suomalainen soittajanumero. Käytännössä tämä tarkoittaa, että jos ulkomailta yritetään soittaa niin, että puhelimen näytöllä näkyy suomalainen +358-alkuinen numero, operaattorit voivat tunnistaa ja blokata tällaisen puhelun ellei soittaja ole oikeasti Suomessa (esimerkiksi tarkistamalla ettei numero ole roaming-tilassa). Toimenpide on ollut varsin tehokas: Telia kertoi estäneensä kesällä 2024 pelkästään kesä- ja heinäkuussa noin 2,5 miljoonaa huijauspuhelua (yli 11 000 soittoa päivässä). Myös Elisa ja DNA raportoivat estäneensä satojatuhansia, jopa miljoonia, huijaussoittoja verkossaan tuona aikana. Huijauspuheluiden määrä onkin kääntynyt lievään laskuun huippuvuoden 2023 jälkeen, mutta rikolliset etsivät jatkuvasti uusia keinoja kiertää estoja. DNA:n petostentorjuntapäällikkö Ilkka Tuominen totesi, että vuoden 2023 aikana DNA:n verkossa estettiin jopa 10 miljoonaa huijauspuheluyritystä, ja että tilanne on parantunut, mutta “huijarit eivät luovu valtavista rahavirroista, vaan rikollisuus on teollistunut ulkomailla”. Tämä alleviivaa, kuinka ammattimaista toiminta on – siksi valppauden on oltava jatkuvaa myös puhelimitse tulevien yhteydenottojen suhteen.

Haittaohjelmat ja tekniset iskut: troijalaiset, valesovellukset ja haavoittuvuudet

Kolmas keskeinen tapa, jolla suomalaisten verkkopankeista on viety rahaa, ovat tekniset hyökkäykset ja haittaohjelmat. Toisin kuin puhtaat sosiaalisen manipuloinnin huijaukset (joissa uhri vapaaehtoisesti luovuttaa tunnuksiaan), näissä tapauksissa rikolliset hyödyntävät ohjelmallisia keinoja saadakseen pääsyn tileille. Kaksi pääkategoriaa ovat perinteiset tietokone- ja mobiilitroijalaiset sekä pankkien järjestelmähaavoittuvuuksien hyväksikäyttö. Lisäksi eräänlaisena hybridinä ovat huijaukset, joissa uhri huijataan asentamaan haittaohjelma omalle laitteelleen.

Tietokone- ja mobiilitroijalaiset

Troijalainen on haittaohjelma, joka usein naamioituu hyödylliseksi tai harmittomaksi ohjelmaksi, mutta jonka todellinen tarkoitus on vakoilla käyttäjää tai ottaa laitteen hallinta rikollisille. Verkkopankkien historiassa troijalaiset ovat olleet merkittävä uhka. Esimerkiksi aiemmin mainittu vuoden 2007 Nordea-tapaus johtui Haxdoor-nimisestä troijalaisesta, joka levisi sähköpostilla muka pankin viestinä ja tarttui asiakkaiden tietokoneisiin. Tämä troijalainen odotti, että käyttäjä kirjautuu verkkopankkiin, ja näytti kirjautumisen yhteydessä virheilmoituksen pyytäen syöttämään tunnukset uudelleen – samalla ohjelma tallensi annetut tunnukset rikollisten käyttöön. Tällaisilla keinoilla ohitettiin tuolloinen kertakäyttösalasanoihin perustuva tunnistautuminen: huijarit saivat tietoonsa sekä asiakkaan käyttäjätunnuksen että avainlukulistan koodin, ja pystyivät näin kirjautumaan pankkiin kuin asiakas itse. Nordean tapauksessa huijaukset jatkuivat yli vuoden ajan, ennen kuin ne havaittiin, ja vahinko oli huomattava. Tapauksen paljastuminen johti mm. siihen, että Nordea otti vuonna 2010 käyttöön lisävahvistuspalvelun poikkeuksellisiin tilisiirtoihin (ylimääräisiä varmennuksia isoille maksuille) parantaakseen turvallisuutta.

Myös 2010-luvulla erilaiset troijalaiset – kuten Zeus, Gozi ja SpyEye – ovat aiheuttaneet huolta suomalaispankeissa. Moni muistaa tapauksen, jossa huijausviesti yritti houkutella asentamaan pankin turvaohjelman, joka olikin troijalainen; tai puhelimeen tulleen linkin, joka asentoi haittaohjelman tekstiviestin muodossa (esimerkiksi 2021 liikkunut FluBot-haitta, joka naamioitui saapuneeksi ääniviestiksi). Pankit ovat pyrkineet torjumaan troijalaisia mm. kehittämällä omia mobiilisovelluksiaan siten, ettei niiden rinnalla voi ajaa tuntemattomia ohjelmia, ja ohjeistamalla asiakkaita pitämään laitteidensa virustorjunta ajan tasalla. Siitä huolimatta haittaohjelmien tekijät etsivät jatkuvasti uusia tapoja kiertää suojaukset.

Viime vuosina mobiililaitteisiin kohdistuvat haittaohjelmat ovat yleistyneet. Erityisesti Android-puhelimia on pyritty saastuttamaan pankkitunnusten kalastamiseksi. Kyberturvallisuuskeskus varoitti tammikuussa 2025 laajalle levinneestä huijauksesta, jossa käytettiin hyväksi suomalaisten suosimia netin kauppapaikkoja, kuten Tori.fi ja Facebook Marketplace. Tässä huijaustavassa rikollinen tekeytyi ostajaksi ja pyysi tuotteen myyjää asentamaan puhelimeensa sovelluksen lähettämänsä linkin kautta muka lähetyksen järjestämiseksi. Linkki vei myyjää muistuttavalle sivustolle, joka näytti aivan Google Play -sovelluskaupalta, mutta olikin huijaussivusto. Kun myyjä latasi ja asensi sieltä sovelluksen, hänen puhelimeensa asentui Android-haittaohjelma. Kyberturvallisuuskeskuksen mukaan kyseinen haittaohjelma antoi huijareille pääsyn koko puhelimeen: he pystyivät esimerkiksi lukemaan tekstiviestejä (joita käytetään monivaiheisessa tunnistuksessa), näkemään puhelimen ruudun ja syötetyt tekstit sekä jopa ottamaan etähallinnan laitteesta. Tällöin rikolliset pääsivät käsiksi mm. uhrin verkkopankkiin kirjautumistietoihin ja pystyivät siirtämään rahaa tililtä toiselle. Lisäksi kaikki muukin puhelimen sisältö – kuten muut salasanat, kuvat ja viestit – oli vaarassa päätyä rikollisille.

Tämä Tori.fi-haittaohjelma ehti aiheuttaa huomattavia vahinkoja ennen paljastumistaan. Traficomin Kyberturvallisuuskeskuksen tuoreen katsauksen mukaan rikolliset olivat onnistuneet varastamaan uhreilta jo noin 450 000 euroa tällä keinolla tammi–tammikuuhun 2025 mennessä. Poliisin mukaan tapauksia on tullut ilmi ympäri Suomen, ja rikoshyöty on yhteensä jo satoja tuhansia euroja. Tämä huijaus on erinomainen esimerkki siitä, miten perinteinen nettipetos (valeostaja kauppapaikalla) yhdistyy tekniseen hyökkäykseen (haittaohjelmaan) tuottaen vaarallisen yhdistelmän. Uhrina saattoi olla kuka tahansa käytetyn tavaran myyjä – ei tarvinnut kuin uteliaisuudesta klikata väärää linkkiä ja asentaa tekaistu Postin tai Matkahuollon sovellus, niin koko puhelin joutui vaaraan. Erityisen salakavalaksi tämän teki se, että huijaussivustot ja sovellukset oli naamioitu näyttämään täsmälleen oikeiden kuljetusfirmojen sivuilta ja appeilta; huijarit jopa jäljittelivät Google Play -kaupan ulkoasua saadakseen uhrin luottamaan lataukseen.

Poliisi ja Kyberturvallisuuskeskus ovat korostaneet tämän tapauksen yhteydessä yleispätevää ohjetta: “Sovellukset tulee aina ladata virallisista sovelluskaupoista. Älä luota viestissä saatuun linkkiin, vaikka se näyttäisi johtavan tuttuun sovelluskauppaan”. On parempi mennä itse sovelluskauppaan puhelimen kautta ja etsiä tarvittava sovellus sieltä, kuin klikata mitään linkkiä viestissä. Lisäksi, jos kaupankäynnin yhteydessä vastapuoli ehdottaa minkään lisäohjelman lataamista, tulisi hälytyskellojen soida – yleensä kyseessä on huijaus. Tori.fi:n ja muiden kauppapaikkojen normaalit käytännöt eivät koskaan vaadi erillisen sovelluksen asentamista kaupanteon ehtona.

Pankkien järjestelmähaavoittuvuudet – harvinaiset mutta vakavat tapaukset

Valtaosa verkkopankkihuijauksista perustuu asiakkaiden erehdyttämiseen tai heidän laitteidensa haittaohjelmatartuntoihin. On kuitenkin ollut myös muutamia poikkeuksellisia tapauksia, joissa rikolliset ovat hyödyntäneet suoraan pankkien omia järjestelmäaukkoja. Tällöin uhrilta ei vaadita mitään toimintaa tai erehtymistä, vaan vika on pankin teknologiassa – nämä tapaukset ovat hyvin harvinaisia, mutta mahdollisia.

Kenties tunnetuin esimerkki tästä Suomessa on S-Pankin tietomurto ja petossarja vuonna 2022. Syyskuussa 2022 paljastui, että S-Pankin verkkopankissa oli ollut vakava haavoittuvuus, jonka avulla rikolliset olivat onnistuneet tunkeutumaan toisten asiakkaiden tileille ilman lupaa. Länsi-Uudenmaan poliisin tutkinnassa ilmeni, että touko–elokuun 2022 aikana osa S-Pankin asiakkaista oli voinut nähdä ja käyttää toistensa tilejä pankin järjestelmävirheen vuoksi. Rikolliset – jotka tässä tapauksessa olivat kotimaassa toimivia henkilöitä – hyödynsivät tätä teknistä aukkoa suorittaakseen luvattomia tilisiirtoja uhrien tileiltä. Poliisin mukaan toteutuneita petoksia (maksuvälinepetoksia) oli ainakin 53 kappaletta, ja lisäksi noin 150 tietomurtoa (yritystä tai murtautumista tileille) tuli ilmi. Erikoista tapauksessa oli se, että “rikossarjan tekee poikkeukselliseksi se, että epäiltyjen joukko asuu Suomessa, teot on tehty Suomessa, eikä rikoksiin ole vaadittu asianomistajien myötävaikutusta eli erehdyttämistä”, kuten rikoskomisario Klaus Geiger totesi. Toisin sanoen kyseessä ei ollut kalasteluhuijaus ollenkaan, vaan suora pankkijärjestelmän murto.

S-Pankin haavoittuvuus mahdollisti siirtojen tekemisen tileiltä ilman, että tilin omistaja itse huomasi tai oli huijattu. Tämä on jokaisen pankin painajainen, koska se murentaa luottamusta pankin järjestelmiin. Tapauksen tultua ilmi S-Pankki joutui nopeasti paikkaamaan aukon ja ryhtyi kontaktoimaan kaikkia asiakkaita, joiden tileiltä oli viety rahaa. Kuluttajaliitto kuitenkin moitti S-Pankkia hidastelusta tiedottamisessa: liiton mielestä pankki antoi itsestään “vastuuttoman kuvan”, kun vakava häiriö kesti kuukausia ennen kuin asiakkaat saivat tiedon. Kuluttajaliiton pääsihteeri Juha Beurling-Pomoell totesi tiedotteessa, että viivästynyt tiedottaminen horjutti kuluttajien uskoa digitaalisiin pankkipalveluihin ja vaati S-Pankilta avointa viestintää tapahtuneesta sekä toimia vastaavan estämiseksi jatkossa. S-Pankin tapaus johti myös poliisitutkintaan useilla rikosnimikkeillä, kuten törkeä petos, törkeä rahanpesu ja tietomurto. Tapauksen tutkinta keskitettiin Uudenmaan poliisilaitoksille ja muutamia epäiltyjä – kaksi päätekijää mukaan lukien – saatiin vangittua.

Vaikka S-Pankin tietomurto oli ainutlaatuinen, se osoittaa että myös pankkien tekniset järjestelmät voivat joskus pettää. Pankit investoivat voimakkaasti tietoturvaan, mutta rikollisetkin kehittävät jatkuvasti keinoja löytää heikkoja lenkkejä. Asiakkaan näkökulmasta lohdullista on, että tällaisissa tapauksissa vastuu on selkeästi pankilla, ei asiakkaalla – S-Pankki ilmoittikin korvaavansa asiakkaille nämä menetykset täysimääräisesti. Tapauksen julkisuus myös lisäsi painetta kaikille pankeille tarkastaa omia järjestelmiään haavoittuvuuksien varalta. Finanssiala ry kommentoi, että vaikka tapaus oli yksittäinen, se saattoi heijastua laajemmin luottamukseen koko finanssisektorin digipalveluja kohtaan. Pankkien on siis huolehdittava sekä teknisestä tietoturvastaan että nopeasta viestinnästä asiakkaille, jos jotain poikkeavaa havaitaan.

Muita huijausmuotoja

Edellä kuvattujen päähyökkäystapojen ohella on vielä joitakin muita keinoja, joilla huijarit ovat saaneet suomalaisten verkkopankkirahoja haltuunsa. Yksi on identiteettivarkaudet ja asiakaspalveluhuijaukset: huijari voi esiintyä esimerkiksi pankin asiakaspalveluchatissa tai puhelimessa asiakkaana ja yrittää saada tietoja väärillä henkilötiedoilla. Joskus on yritetty hyödyntää myös väärää postia (ns. CEO-fraud pankkia kohtaan, jossa huijari lähettää pankille sähköpostin esiintyen asiakkaana ja pyytää siirtoa – suomalaispankeissa tosin käytännöt yleensä estävät tämän).

Toinen kasvava ilmiö on “quishing”, eli QR-koodien avulla tehtävä tietojenkalastelu. Tässä huijarit levittävät QR-koodeja (vaikkapa julisteisiin tai nettisivuille upotettuina), jotka ohjaavat uhrin huijaussivustolle – esimerkiksi pankin kirjautumissivua muistuttavalle sivulle. QR-koodien käyttö huijauksissa on vielä verrattain uutta, mutta pankit kuten Nordea ovat varoittaneet myös tällaisista keinoista.

Lisäksi on huomattava, että monet huijaukset kietoutuvat toisiinsa: esimerkiksi rakkaushuijari saattaa ensin luoda luottamussuhteen ja sitten pyytää uhria siirtämään rahaa, tai ohjata uhrin sijoitushuijaukseen, joka lopulta toteutetaan verkkopankin kautta. Vaikka nämä eivät ole perinteisiä “pankkihäkkäyksiä”, lopputuloksena on silti, että uhri itse siirtää rahaa huijarille verkkopankistaan harhautettuna. Esimerkiksi vuonna 2022 suomalaiset menettivät rakkaus- ja dokumenttihuijauksissa 9 miljoonaa euroa, mikä usein tapahtui verkkopankin välityksellä. Pankit ovat kuitenkin huijausten torjuntatoimissaan keskittyneet erityisesti niihin skenaarioihin, joissa pankkitunnukset vaarantuvat tai tililtä viedään rahaa ilman asiakkaan tietoista suostumusta – seuraavaksi tarkastelemme, miten pankit ja viranomaiset ovat reagoineet ja mitä vastuukysymyksiä tapauksiin liittyy.

Pankkikohtaisia huomioita ja esimerkkejä huijauksista

Verkkopankkihuijaukset ovat koskettaneet kaikkia suurimpia pankkeja Suomessa. Huijarit käyttävät röyhkeästi tunnettujen pankkien mainetta hyväkseen esiintyen niiden nimissä. Tässä osiossa nostamme esiin muutamia pankkikohtaisia huomioita ja tapauksia:

• OP Ryhmä: OP:n asiakkaat ovat toistuvasti olleet huijausyritysten kohteena. Kuten edellä kerroimme, OP:n nimissä on lähetetty huijausviestejä, ja keväällä–kesällä 2025 liikkui paljon huijauspuheluita, joissa soittaja tekeytyi OP:n työntekijäksi. OP on reagoinut aktiivisesti: pankki on julkaissut varoituksia nettisivuillaan ja tiedotteissaan, joissa kerrotaan esimerkein, millaisia huijauksia liikkuu. Kesällä 2025 OP varoitti erityisesti varakkaita asiakkaitaan ja yrittäjiä: pankin havaintojen mukaan huijarit saattavat pyrkiä valikoimaan kohteiksi henkilöitä, joilla on paljon varoja tai käyttöoikeus yritystileihin. Jos esimerkiksi toimitusjohtajalla tai talousvastaavalla on pääsy yrityksen tileihin samoin tunnuksin, voivat yrityksenkin varat vaarantua huijaustapauksessa. OP neuvoo olemaan välittömästi yhteydessä pankkiin, jos on pienikin epäily huijauksesta, jotta vahingot saadaan minimoitua. OP on myös kertonut panostavansa petosten torjuntaan mm. kehittämällä järjestelmiä, jotka hälyttävät epätavallisista tapahtumista tileillä.
• Nordea: Pohjoismaiden suurimpana pankkina Nordea on luonnollisesti ollut näkyvä kohde huijareille. Nordean nimissä on lähetetty runsaasti huijaussähköposteja ja -tekstiviestejä – alkuvuodesta 2025 Nordea-logoilla varustettuja kalasteluviestejä raportoitiin olevan liikkeellä paljon. Nordea on itse julkaissut verkkosivuillaan listauksia erilaisista huijausmuodoista opastaakseen asiakkaita tunnistamaan niitä. Pankki muistuttaa esimerkiksi, että hakukoneiden tuloksiin on voinut ilmestyä valeverkkopankkisivuja, joihin asiakas saattaa päätyä jos hän kirjoittaa haulla “Nordea login” ja klikkaa ensimmäistä linkkiä – siksi suora osoitteen käyttö on tärkeää. Nordea on myös tiedottanut ns. QR-koodi-huijauksista (quishing) sekä huijauspuheluista, joissa soittaja väittää olevansa Nordeasta. Historiallisesti Nordea koki 2000-luvun lopulla jo troijalaisongelmia (kuten edellä mainittu Haxdoor), ja se on sen jälkeen lisännyt turvatoimiaan. Vuonna 2019 Nordea otti käyttöön mobiilipankkinsa yhteydessä Siirto-nimisen vahvistussovelluksen, jolla pyritään estämään kolmansien osapuolten kirjautumiset. Tästä huolimatta Nordeaankin liittyviä huijauksia tapahtuu: esimerkiksi Ylen haastattelussa 2025 Nordean petostorjunnan asiantuntija Sara Helin kertoi, että nettipetosten trendit pakottavat pankkeja jatkuvaan kilpajuoksuun huijareiden kanssa, ja Nordea tekee tiivistä yhteistyötä myös muiden pankkien ja maksupalveluyhtiöiden kanssa petosten torjumiseksi.
• S-Pankki: S-Pankin erikoistapaus 2022 on jo käsitelty yllä – se oli vakava muistutus siitä, että myös pankki voi olla suoraan haavoittuva. S-Pankin maine sai kolauksen tapauksen vuoksi, ja pankki on sittemmin pyrkinyt parantamaan järjestelmien valvontaa. S-Pankki myös järjesti asiakkailleen infoa tapahtuneesta ja korvasi menetykset. Vuonna 2023 S-Pankin nimissä havaittiin alkuvuonna liikkuneen paljon kalastelusähköposteja, joilla yritettiin urkkia tunnuksia. Pankki julkaisi omilla sivuillaan ohjeita tunnistusvälineiden turvalliseen käyttöön ja painotti kaksivaiheisen tunnistuksen merkitystä. Koska S-Pankki on monelle asiakkalle myös bonus- ja kauppaketjun tili, huijarit ovat voineet vedota esimerkiksi S-ryhmän Bonustilin väärinkäytökseen tai S-Pankkiin liitettyyn Visa-korttiin huijausviesteissään. Pankkikohtaisena erityispiirteenä S-Pankilla on laaja päivittäistavarakaupan asiakaskunta, mikä voi altistaa myös sellaiset ihmiset huijausviesteille, jotka eivät ehkä muuten ole tottuneet pankkiasioiden sähköiseen hoitoon – tämä asettaa S-Pankille erityisen vastuun opastaa ja varoittaa asiakkaitaan.
• Danske Bank: Myös Dansken asiakkaita on kalasteltu. Danske Bankin nimissä on vuonna 2025 lähetetty esimerkiksi viestejä, joissa pyydettiin vahvistamaan tilin tiedot, jotta tilin käyttöä voisi muka jatkaa keskeytyksettä. Kyberturvallisuuskeskus nosti tämän esiin varoituksissaan ja totesi, että linkit johtavat sivuille, joilla yritetään anastaa pankkitunnuksia. Danske on Suomessa hieman pienempi toimija kuluttajapuolella kuin OP tai Nordea, mutta silti riittävän iso houkuttamaan huijareita – ja ehkä juuri siksi, että Dansken suomalaisasiakkaat eivät saa yhtä usein turvallisuusviestintää mediassa, huijarit toivovat onnistuvansa. Danske Bank on kuitenkin aktiivisesti mukana finanssialan yhteisissä hankkeissa huijausten estämiseksi (esimerkiksi edellä mainitussa Varo, varmista, varoita -kampanjassa). Pankki on myös muistuttanut asiakkaitaan, että heillä on käytössä ID Control -sovellus, josta asiakkaan tulisi aina tarkistaa mitä on hyväksymässä – jos sovelluksessa lukee jokin outo maksunsaaja tai summa, hyväksymistä ei pidä jatkaa.
• Muut pankit: Suomalaisista pankeista myös pienemmät, kuten Ålandsbanken, Säästöpankit, POP Pankit ym., ovat varoittaneet huijausyrityksistä. Usein huijarit keskittyvät kuitenkin isoihin nimiin, koska he haluavat maksimoida mahdollisten uhrien määrän. Myös ulkomaiset pankit, joilla on suomalaisia asiakkaita, kuten Bank Norwegian tai Revolut, on vedetty huijaustarinoihin (kuten Itä-Suomen tapauksessa, jossa mainittiin Norwegian Bank). Kaikilla pankeilla on verkkosivuillaan ohjeita huijausten tunnistamiseen, ja moni pankki tarjoaa asiakkailleen mahdollisuuden rajoittaa omia tilitapahtumiaan (esim. asettamalla alhaisempia siirtorajoja tai estämällä ulkomaiset maksut), mikä voi tuoda lisäturvaa.

Yhteenvetona pankkikohtaisten huomioiden osalta voidaan sanoa, että kaikki pankit painottavat samoja perusasioita: pankkitunnuksia ei pidä luovuttaa kenellekään, epäilyttävistä viesteistä tai puheluista on ilmoitettava ja omaa tilikäyttäytymistä on hyvä seurata. Pankit tekevät myös yhteistyötä huijausten torjumiseksi – Finanssiala ry on todennut, että huijausten torjunta onnistuu parhaiten tehokkaalla tiedonvaihdolla pankkien kesken sekä pankkien ja viranomaisten välillä. Nykyinen lainsäädäntö asettaa tähän jonkin verran rajoitteita henkilötietosuojan vuoksi, mutta finanssialalla on toivottu sääntelyn joustavoittamista, jotta pankit voisivat entistä enemmän jakaa tietoja havaitsemistaan huijausmalleista ja -verkostoista keskenään. Seuraavassa luvussa paneudumme vielä tarkemmin siihen, mitä viranomaiset – erityisesti poliisi ja Kyberturvallisuuskeskus – ovat tehneet huijausten estämiseksi ja millaisia neuvoja he ovat antaneet kansalaisille. Lisäksi käsittelemme, kuka lopulta kantaa vastuun, jos huijaus onnistuu: mitkä ovat pankkien vastuut ja korvauskäytännöt suhteessa asiakkaisiin.

Viranomaisten varoitukset ja toimet: poliisi ja Kyberturvallisuuskeskus

Poliisin varoitukset ja tutkinnat

Poliisi on eturintamassa kohtaamassa verkkopankkipetosrikokset, ja se on reagoinut lisääntyneeseen huijausaaltoon niin valistuksella kuin rikostutkinnalla. Paikalliset poliisilaitokset ovat julkaisseet tiedotteita eri puolilla maata aina, kun huijaustapauksia on tullut ilmi. Esimerkiksi Itä-Suomen poliisilaitos julkaisi helmikuussa 2023 tiedotteen varoittaen juuri pankkivirkailijoina esiintyvistä huijareista, kun alueella oli tapahtunut useita tapauksia lyhyen ajan sisään. Tiedotteessa kerrottiin tiiviisti olennaiset: pankki tai poliisi ei koskaan kysy tunnuksia puhelimessa; jos näin tapahtuu, soittaja on huijari. Poliisi kehotti olemaan heti yhteydessä pankkiin ja tekemään rikosilmoituksen, mikäli tunnukset on päässyt luovuttamaan huijarille.

Lisäksi poliisi on suorittanut suuria rikostutkintaoperaatioita yhteistyössä ulkomaisten kollegojen kanssa. Valepoliisihuijausten kitkemiseksi Suomen poliisi teki 2010-luvun lopulla yhteisoperaatioita mm. Viron ja Romanian viranomaisten kanssa, koska monet puhelut juonittiin ulkomailta käsin. Useita kymmeniä henkilöitä on tuomittu eri rooleissa näihin liittyen – tosin usein tuomiolle päätyvät “jalkamiehet” eli bulvaanit, kun taas järjestäjät saattavat jäädä tavoittamatta. Poliisihallitus perusti vuonna 2020-luvun alussa myös Valtakunnallisen tietoverkkorikosten tutkintayksikön, joka keskittyy juuri netissä tapahtuviin petoksiin ja huijauksiin. Tämä yksikkö on antanut varoituksia esimerkiksi edellä mainitusta Tori.fi-haittaohjelmasta tammikuussa 2025, otsikolla “Varo internetin kaupankäynnissä leviävää haittaohjelmaa – rahasi ovat vaarassa”. Kyseisessä poliisin tiedotteessa kerrottiin samat huijauskuvion vaiheet ja muistutettiin, ettei ulkopuolisen tahon kehotuksesta pidä koskaan asentaa sovelluksia.

Poliisin viesti kansalaisille on siis johdonmukainen: ole epäluuloinen yllättäviä yhteydenottoja kohtaan, älä luovuta tietoja ja ilmoita heti jos epäilet joutuneesi huijatuksi. Poliisi on myös korostanut, että huijatuksi joutuminen on rikos, josta syyllinen on aina huijari – uhrien ei pidä tuntea syyllisyyttä, vaan heidän tulee hakea apua ja oikeutta. Rikosuhripäivystyksen (RIKU) kautta poliisi ohjaa uhreja esimerkiksi keskustelemaan tapahtuneesta, jotta traumaattiset kokemukset käsiteltäisiin eikä häpeä estäisi ilmoittamasta.

Kyberturvallisuuskeskuksen (Traficomin) rooli

Liikenne- ja viestintäviraston Kyberturvallisuuskeskus (KTK) on Suomessa keskeinen toimija tietoturvauhkien seurannassa ja niistä tiedottamisessa. KTK julkaisee viikoittain viikkokatsauksia, joissa usein listataan ajankohtaiset huijausmenetelmät. Esimerkiksi viikkokatsaus 05/2025 varoitti täsmälleen OP:n ja Danske Bankin nimissä leviävistä sähköpostikalasteluista ja toisti neuvon olla klikkaamatta viestien linkkejä. KTK seuraa myös teknisiä trendejä: he raportoivat heti FluBot-tekstiviestihaittaohjelman ilmiannosta ja ohjeistivat kansalaisia poistamaan haittasovelluksen, jos sellaisen oli epähuomiossa asentanut.

Kyberturvallisuuskeskus tekee tiivistä yhteistyötä pankkien ja teleoperaattoreiden kanssa. Esimerkiksi huijauspuheluiden torjunnassa KTK on koordinoinut ratkaisujen etsimistä operaattoreiden kanssa jo vuodesta 2021 lähtien. KTK osallistui Traficomin määräysten valmisteluun, joiden avulla operaattorit alkoivat estää väärennettyjä puheluita (kuten edellä käsitelty kesällä 2022 käyttöönotettu tekniikka, joka romahdutti Microsoftin tukihuijauspuhelut). KTK:n asiantuntijat ovat usein esillä mediassa kommentoimassa huijausten uusia muotoja. Heidän viestinsä on, että vaikka teknisiä suojauksia kehitetään, ihminen on edelleen se ratkaiseva lenkki: huijarit yrittävät ohittaa tekniset esteet huijaamalla ihmistä tekemään virheen.

Vuonna 2022–2023 KTK oli mukana käynnistämässä edellä mainittua Varo, varmista, varoita -kampanjaa yhdessä poliisin, Finanssialan, Kuluttajaliiton ja pankkien kanssa. Tämän kampanjan ydinajatukset – varo epäilyttäviä viestejä, varmista lähettäjän aitous, varoita muita huijauksista – tiivistävät monella tapaa sekä poliisin että KTK:n neuvot kansalaisille. KTK myös ylläpitää verkkosivuillaan listaa ajankohtaisista huijauksista, josta käyttäjät voivat käydä tarkistamassa esimerkiksi viimeisimmät pankkien nimissä kiertävät viestihuijaukset. Sieltä löytyy kuvakaappauksia huijausviesteistä, jotta ihmiset voisivat tunnistaa ne. Esimerkiksi KTK on julkaissut kuvia OP:n logolla varustetusta WhatsApp-huijauksesta, jossa pyydettiin “lisävahvistusnumeroita” – tällaisen bongattuaan asiakas voi välttää ansan.

On hyvä mainita, että Viestintävirasto/Kyberturvallisuuskeskus ottaa vastaan myös ilmoituksia huijausviesteistä ja -sivuista. Monet pankit ohjaavat asiakkaitaan lähettämään epäilyttävät viestit KTK:lle analysoitavaksi. Jos siis saat sähköpostin, jonka epäilet olevan huijaus, sen voi edelleenlähettää osoitteeseen tietoturva@traficom.fi. Näin viranomaiset saavat paremmin kokonaiskuvan meneillään olevista kampanjoista ja voivat varoittaa muita.

Teleoperaattoreiden ja muiden viranomaisten panos

Kuten edellä todettiin, teleoperaattoreilla on ollut iso rooli huijauspuheluiden vähentämisessä. Telia, Elisa ja DNA ovat kehittäneet tunnistusjärjestelmiä, jotka perustuvat esimerkiksi puhelun reititystietoihin. Traficomin lokakuussa 2023 voimaan tullut määräys velvoittaa kaikkia operaattoreita käyttämään näitä keinoja. Tulokset ovat olleet lupaavia: Telian tietojen mukaan huijaussoittoyritysten määrä putosi keväällä 2024 huomattavasti ja toukokuu 2024 oli hiljaisin kuukausi pitkään aikaan. Tosin kesällä 2024 määrä nousi taas jonkin verran, mikä viittaa rikollisten kokeilevan uusia kuvioita. DNA raportoi, että kesällä 2024 estettiin edelleen keskimäärin 9 000 ulkomailta tulevaa huijauspuhelua päivässä, ja huippuvuonna 2023 luku oli ollut jopa 10 miljoonaa soittoestoa vuodessa.

Myös Digi- ja väestötietovirasto (DVV) on osallistunut tiedotukseen, erityisesti mainitulla kampanjalla. DVV korostaa, että huijauksista kannattaa aina ilmoittaa ja että jokainen voi ehkäistä huijauksia noudattamalla varovaisuutta. Kuluttajaliitto puolestaan on ollut aktiivinen painostamaan pankkeja vastuullisuuteen: liitto on vaatinut pankkeja parantamaan asiakastiedotusta ja reagointinopeutta, mistä esimerkkinä S-Pankin tapauksen kritiikki. Kuluttajaliitto on myös neuvonut huijausten uhreja kääntymään FINEn puoleen riitatilanteissa (tästä lisää seuraavassa osiossa).

Yhteenvetona viranomaisten toimista voidaan todeta, että Suomessa on laaja rintama huijausten torjumiseksi: poliisi tutkii ja varoittaa, Kyberturvallisuuskeskus informoi ja analysoi, teleoperaattorit estävät teknisesti osan huijauksista, ja finanssialan toimijat sekä järjestöt kampanjoivat tietoisuuden puolesta. Tästä huolimatta huijarit ovat onnistuneet viemään rahaa verkkopankeista, joten on syytä käsitellä vielä tärkeä kysymys: kuka korvaa vahingot ja millä ehdoilla, jos pankkihuijaus osuu kohdalle?

Pankkien vastuu ja korvauskäytännöt huijaustapauksissa

Verkkopankkihuijauksen uhriksi joutuminen on kaksoiskriisi: ensinnäkin henkilö menettää mahdollisesti huomattavan summan rahaa, ja toiseksi hänen täytyy selvitellä pankin kanssa, kuka vastaa menetyksestä. Suomessa tilannetta säätelee Maksupalvelulaki, joka määrittelee asiakkaan ja pankin välisen vastuunjaon luvattomissa maksutapahtumissa. Lain lähtökohta on, että jos maksuvälinettä (kuten pankkikorttia tai verkkopankkitunnuksia) on käytetty oikeudettomasti, pankki korvaa menetetyt rahat takaisin asiakkaalle paitsi tietyissä tapauksissa joissa asiakas on toiminut huolimattomasti tai vilpillisesti.

Yksinkertaistettuna: jos asiakas ei ole toiminut tahallaan tai törkeän huolimattomasti, hänen vastuunsa on korkeintaan 50 euroa menetyksistä. Tämä tarkoittaa, että pankin pitäisi palauttaa loput summasta asiakkaalle. Jos taas voidaan osoittaa, että asiakas on toiminut tahallisesti tai törkeän huolimattomasti, asiakas voi joutua vastuuseen koko summasta, eikä 50 euron suojaa sovelleta. Tahallisuus on harvoin kysymyksessä (kuka tahallaan haluaisi tulla huijatuksi), joten usein kiista pyörii sen ympärillä, oliko asiakkaan toiminta törkeän huolimatonta vai “vain” huolimatonta.

Tässä tulee käytännössä erimielisyyttä: pankki saattaa katsoa, että asiakas on ollut niin varomaton, että kyse on törkeästä huolimattomuudesta, kun taas asiakas ja vaikkapa Kuluttajaliitto voivat olla toista mieltä. Törkeän huolimattomuudenmäärittely ei ole laissa täysin tarkkarajaista, vaan se arvioidaan tapauskohtaisesti. Esimerkkinä voisi pitää tilannetta, jossa asiakas on saanut pankilta varoituksen kesken tunnistautumisen, että “oletko varmasti tekemässä tätä, tämä voi olla huijaus”, mutta hän on siitä huolimatta jatkanut ja antanut tunnuksensa huijarille – pankki voi tällöin vedota, että asiakas ignoorasi selvän varoitusmerkin. Ja tällainen tapaus on oikeastikin ollut: erään pankin asiakas sai kirjautuessaan ilmoituksen mahdollisesta huijauksesta, mutta hän silti syötti tunnukset loppuun asti; tätä pankki piti osoituksena siitä, ettei asiakas toiminut kohtuullisen huolellisesti.

Kuluttajaliiton lakimies Emmi Meriranta on todennut, että “kuluttaja voi olla varomaton, ja tämä ei ole vielä sama kuin törkeän huolimaton”. Eli ihmiselle voidaan sallia tietty inhimillinen erehtyminen ilman, että kaikki vastuu siirtyy hänelle. Meriranta mainitsee myös, että huolelliseksi toiminnaksi katsotaan esimerkiksi selkeisiin kirjoitusvirheisiin huomiominen (huijausviestit ovat usein kankeaa suomea) sekä se, että säilyttää maksukorttia ja tunnuslukua erillään. Jos siis asiakas on yleisesti ottaen toiminut fiksusti mutta silti lankesi taitavaan huijaukseen, tapausta ei välttämättä tulkita törkeäksi huolimattomuudeksi.

Mitä tapahtuu, jos pankki ja asiakas ovat eri mieltä vastuusta? Suomessa on Vakuutus- ja rahoitusneuvonta FINE, johon asiakas voi viedä riita-asian maksutta ratkaistavaksi. FINE antaa suositusluontoisia ratkaisuja ja neuvontaa. Viime vuosina FINEen on tullut aiempaa enemmän tapauksia koskien verkkopankkitunnusten oikeudettomasta käytöstä. Jos FINEssäkään ei päästä sovintoon, asiakkaalla on vielä mahdollisuus viedä asia tuomioistuimeen, mutta tämä on raskas tie. Meriranta huomauttaakin, että oikeuteen lähtemistä kannattaa harkita tarkkaan, koska oikeusprosessi voi tulla kalliiksi ja kestää pitkään.

Käytännössä monet tapaukset saadaan ratkaistua ilman oikeutta: pankit usein tekevät päätöksen korvauksesta tai korvaamatta jättämisestä, ja jos asiakas valittaa FINEen, pankki voi joskus jo siinä vaiheessa sovitella. Julkisuudessa on ollut tapauksia, joissa pankki on kieltäytynyt korvaamasta ja vedonnut törkeään huolimattomuuteen – esimerkiksi eräs eläkeläinen menetti kymmeniä tuhansia valepoliisille ja pankki katsoi, että tunnusten luovuttaminen puhelimessa oli törkeän huolimatonta. Toisaalta on myös tapauksia, joissa pankki on tullut asiakasta vastaan mainehaitan pelossa.

Lain mukaan asiakkaan vastuu loppuu myös siinä vaiheessa, kun hän ilmoittaa pankille tunnustensa joutuneen vääriin käsiin. Siksi onkin ensiarvoisen tärkeää, että jos huomaa tulleensa huijatuksi, ottaa heti yhteyttä pankkiin ja kuolettaa tunnukset tai kortit. Tämän jälkeen tulee tehdä rikosilmoitus poliisille. Usein nopeat toimet voivat jopa pelastaa osan rahoista: pankit ovat saattaneet ehtiä estää meneillään olleen siirron tai jäljittää varoja, mikäli ilmoitus on tullut ajoissa.

Mitä tulee pankkien vastuullisuuteen ja tiedottamiseen laajemmin, Finanssivalvonta (Fiva) valvoo pankkien toimintaa myös asiakassuojan näkökulmasta. Pankeilla on velvollisuus tiedottaa asiakkailleen merkittävistä turvallisuusuhista. Useimmat pankit lähettävätkin asiakkaille varoitusviestejä (esim. sähköpostilla tai mobiilisovelluksen kautta) havaitessaan huijausyrityksiä. Jotkut asiakkaat ovat tosin kokeneet saavansa näitä varoituksia ehkä liiankin usein – tasapaino pitää löytää, jotta viesti menee perille muttei aiheuta väärää turvallisuuden tunnetta (“näistä aina varoitetaan, mutta en minä ole koskaan joutunut kohteeksi, joten ei koske minua”).

Pankkien korvauskäytännöistä on syytä mainita, että jos pankki katsoo asiakkaan olleen huolimaton, se saattaa kieltäytyä korvaamasta vapaaehtoisesti. Silloin pallo on asiakkaalla hakea hyvitystä FINEn tai oikeuden kautta. On tapauksia, joissa FINE on suosittanut pankkia korvaamaan puolet menetyksistä esimerkiksi sillä perusteella, että asiakas ei ollut täysin varovainen muttei myöskään törkeän huolimaton – mutta pankki on voinut jättää suosituksen noudattamatta, jolloin asiakas on jäänyt nuolemaan näppejään tai kokeillut onneaan tuomioistuimessa. Tämä on henkisesti ja taloudellisesti raskasta uhrille, joka on jo menettänyt rahaa.

Kuluttajaliitto onkin ehdottanut, että lainsäädäntöä voisi selkeyttää tai pankkien vastuuta lisätä tietyissä huijaustapauksissa. On keskusteltu esimerkiksi siitä, pitäisikö pankkien olla velvollisia kyseenalaistamaan hyvin poikkeavat tilisiirrot. Valepoliisitapauksissa on nähty, että pankkien järjestelmät eivät aina reagoineet mitenkään, vaikka vanhusasiakas tyhjensi koko tilinsä kerralla – liiketoimena tämä on epätavallista ja voisi herättää hälytyskellot, mutta automaatti ei sitä estänyt. Finanssiala on todennut, että pankit kyllä yrittävät parantaa tunnistusta, mutta tietosuoja- ja pankkisalaisuusrajoitukset vaikeuttavat joskus erikoistapausten käsittelyä reaaliajassa. Joskus pankkivirkailijat ovat pelastaneet tilanteen soittamalla asiakkaalle ja varmistamalla, onko hän todella siirtämässä rahaa itselleen tuntemattomalle tilille – mutta tämä edellyttää, että joku pankissa huomaa epätyypillisen toiminnan ajoissa.

Lopulta, jos pankin oma laiminlyönti on syynä huijaukseen (kuten S-Pankin tietomurrossa), pankki vastaa täysimääräisesti. Tällöin maksupalvelulain pykälät asiakkaan huolimattomuudesta eivät edes tule sovellettaviksi, koska asiakas ei ole tehnyt mitään väärää. Näin ollen S-Pankki joutui korvaamaan asiakkaiden menetykset. Toki S-Pankin tapauksessa osa rahoista saatiin myös rikoksentekijöiltä takaisin poliisin takavarikoimana, koska tekijät olivat Suomessa. Usein kansainvälisissä huijauksissa rahat katoavat ulkomaille ja palautus on vaikeaa, ellei mahdotonta.

Yhteenvetona voi sanoa, että asiakkaan paras turva korvausnäkökulmasta on se, ettei toimi törkeän huolimattomasti. Eli noudattaa pankkien ohjeita huolellisesti: ei tunnuksia vieraille, huomio varoitukset, epäile ennen kuin luotat. Silloin, jos huijaus kaikesta huolimatta tapahtuu, asiakkaalla on vahvat perusteet saada rahansa takaisin pankilta (lukuun ottamatta 50 euron omavastuuosaa). Jos taas pankki pystyy näyttämään, että asiakas esimerkiksi toistuvasti klikkasi varoituksista huolimatta “Hyväksy” epämääräiselle kirjautumiselle, tilanne kääntyy hankalammaksi asiakkaan kannalta.

Lainsäädäntö ja viranomaistoimet tilanteen parantamiseksi

Verkkopankkihuijaukset ovat niin vakava ja laaja ongelma, että niiden torjumiseksi on ryhdytty myös lainsäädännöllisiin ja strategisiin toimiin. Olemme jo käsitelleet Traficomin määräystä huijauspuheluiden estämisestä – se on yksi esimerkki, kuinka sääntelyllä voidaan puuttua tiettyyn osaan ongelmaa. Lisäksi EU-tasolla on pyritty parantamaan maksupalveluiden turvallisuutta mm. PSD2-direktiivillä (toinen maksupalveludirektiivi), joka velvoitti pankit ottamaan käyttöön vahvan tunnistautumisen kaikissa verkkomaksuissa. Suomessa tämä on jo pitkään ollut normi pankkitunnuksissa, mutta PSD2 toi lisäelementtejä, kuten rajapintojen avaamisen kolmansille osapuolille tietyin ehdoin – samalla vahvistaen vaatimusta kaksivaiheisesta tunnistuksesta. Direktiivin tarkoitus oli myös lisätä kilpailua ja innovaatioita, mutta toisaalta se loi uusia hyökkäyspintoja, kun asiakkaat voivat käyttää pankkipalveluja kolmansien sovellusten kautta. Tämä on kuitenkin marginaalinen tekijä huijauksissa, sillä valtaosa tapauksista liittyy suoraan ihmisten huijaamiseen eikä teknisten API-rajapintojen väärinkäyttöön.

Kotimaassa on pohdittu, pitäisikö pankkisalaisuussääntöjä löysätä huijaustapausten osalta. Finanssiala ry:n Niko Saxholm totesi alkuvuonna 2025, että tietojenvaihdon esteet on tunnistettava: “Nykyisen lainsäädännön vuoksi tietojenvaihto pankkien välillä sekä pankkien ja viranomaisten välillä on varsin rajattua. Tietojenvaihdon parantaminen on paras keino kitkeä huijauksia juuria myöten”. Tämä viittaa siihen, että pankit haluaisivat jakaa enemmän tietoa epäilyttävistä tapahtumista keskenään, mutta esimerkiksi pankkisalaisuus ja GDPR-tietosuojasäännökset voivat tulkinnan mukaan rajoittaa sitä. Mahdollisesti tulevaisuudessa nähdään lakimuutoksia, jotka sallivat esimerkiksi “huijauspetosten mustan listan” ylläpitämisen pankkien yhteisesti – tosin tässä on varmistettava asiakkaiden oikeusturva, ettei ketään leimata aiheetta.

Rangaistusten osalta Suomen rikoslaki on jo varsin järeä: valepoliisihuijauksista on annettu pitkiä vankeustuomioita törkeinä petoksina. Esimerkiksi vuonna 2021 eräs valepoliisina esiintynyt mies sai hovioikeudessa kovennetun tuomion, kun hänen todettiin yrittäneen huijata vanhuksilta pankkitunnuksia useaan otteeseen. Rikosnimikkeet kuten törkeä maksuvälinepetos ja törkeä rahanpesu tulevat kyseeseen laajemmissa huijauksissa, kuten S-Pankin tapauksessa. Lainsäädäntöä sinänsä ei tarvinnut muuttaa näiden tekojen kriminalisoimiseksi – ne sopivat hyvin olemassa oleviin petos- ja tietomurtopykäliin. Merkittävää on kuitenkin poliisin resursointi: 2020-luvulla on lisätty panostusta kyberrikostorjuntaan, koska aiemmin nettipetosten selvittely sai kritiikkiä hitaudesta. Nyt esimerkiksi Keskusrikospoliisissa on erikoistuneita tutkijoita, jotka jäljittävät kryptovaluuttasiirtoja tai rahamuleja yli rajojen.

Toinen mielenkiintoinen lainsäädäntökehitys liittyy puhelinnumeron identiteetin suojaukseen. Kuten mainittua, Traficomin määräys velvoitti estämään väärät numerot. Tätä voidaan pitää de facto lainsäädäntömuutoksena telealalla petosten torjumiseksi. Lisäksi EU:ssa on puhuttu pankkien velvollisuuksista korvata huijauksia nykyistä laajemmin – esimerkiksi Britanniassa eräät pankit ovat ottaneet käyttöön vapaaehtoisia lupauksia korvata tietyntyyppiset huijaukset aina asiakkaille (ns. APP scams -sääntö), mutta Suomessa sellaista ei toistaiseksi ole. Lainsäätäjä voisi halutessaan määrätä, että tietyissä sosiaalisen insinöörityön petoksissa pankki jakaa vastuuta, mutta toisaalta pelätään moraalikatoa eli asiakkaiden huolellisuuden heikkenemistä, jos pankki aina maksaa.

Yhteistyö kansainvälisesti on myös tärkeää. Suomalaiset pankit ja poliisi tekevät yhteistyötä mm. Europolin ja muiden maiden poliisien kanssa. Esimerkiksi eräs romanialainen huijaririnki saatiin kiinni juuri kansainvälisen operaation avulla. EU:ssa on perustettu pankkien välisiä tietojenvaihtokanavia, kuten FI-ISAC, jossa jaetaan tietoa hyökkäyksistä. Nämä eivät ole suoraan lainsäädäntöä, mutta osa rakenteellista vastausta ongelmaan.

Lopuksi täytyy todeta, että kaikkein tärkein “lainsäädäntö” on ehkä kuitenkin jokaisen meistä omaksumat turvalliset toimintatavat. Viranomaiset voivat määrätä ja pankit varoittaa, mutta jos käyttäjä itse päättää olla varuillaan, huijari jää nuolemaan näppejään. Kuten DVV:n kampanja kiteyttää: “Jos tarjous kuulostaa liian hyvältä, se ei ole totta; ja jos jokin asia esitetään äärimmäisen kiireellisenä, pysähdy miettimään – pankki tai poliisi ei painosta sinua koskaan kiireellä”. Samoin muista aina, ettei kukaan laillinen taho kysy tunnuksiasi tai korttitietojasi viestillä tai puhelimessa. Tämä sääntö on jo olemassa, mutta sitä voi pitää jokaisen netinkäyttäjän “lakipykälänä” omassa toiminnassaan.

Yhteenveto: tieto, tarkkaavaisuus ja yhteistyö ovat parhaita suojia

Suomalaisten verkkopankeista viety raha on ikävä ilmiö, joka tuskin katoaa yhdessä yössä. Huijarit kehittävät uusia juonia ja hyödyntävät teknologiaa hyväkseen, mutta toisaalta myös pankit, viranomaiset ja kansalaiset itse kehittävät vastatoimia. Tämän artikkelin läpi olemme nähneet, kuinka monella tapaa verkkopankkihuijaukset voivat tapahtua – aina yksinkertaisesta huijaustekstiviestistä monimutkaiseen pankkijärjestelmän hakkerointiin. Olemme myös oppineet, että huijausten torjuminen on yhteispeliä: tarvitaan pankkien vastuullisuutta ja nopeaa reagointia, viranomaisten valistusta ja teknisiä ratkaisuja sekä ennen kaikkea asiakkaiden omaa hereilläoloa.

Jokainen meistä voi parantaa omaa turvallisuuttaan muutamalla perusperiaatteella:

• Älä luovuta pankkitunnuksia tai korttitietoja kenellekään ulkopuoliselle, olipa syy mikä hyvänsä. Pankki tai poliisi ei niitä kysele.
• Älä klikkaa suoraan viestien linkkejä, jos viesti koskee pankkiasioita. Siirry itse pankkisi sivulle tai sovellukseen ja tarkista asia sieltä käsin.
• Ole varuillasi puheluissa: jos soittaja väittää tulevansa pankista/poliisista ja puhuu rahojen siirrosta tai kysyy tunnuksia, lopeta puhelu. Voit aina soittaa itse pankkisi viralliseen numeroon ja tarkistaa tilanteen.
• Pidä laitteesi suojattuina: päivitä käyttöjärjestelmät ja ohjelmistot, asenna virustorjunta ja lataa sovellukset vain virallisista kaupoista.
• Jos jotain epäilyttävää tapahtuu – esimerkiksi huomaat tililtä tuntemattoman veloituksen tai annoit vahingossa tietosi huijarille – toimi heti: ota yhteys pankkiin, sulje tarvittaessa tunnukset/kortit ja tee rikosilmoitus.

Suomessa huijauksia on saatu paljastettua ja rahojakin palautettua merkittäviä määriä, kiitos valppaiden pankkitoimihenkilöiden ja tehokkaan poliisityön. Silti vuonna 2024 suomalaiset menettivät yhä yli 60 miljoonaa euroa huijareille. Tämä kertoo, että työsarkaa riittää. On kuitenkin rohkaisevaa nähdä, että monet tahot – pankit, poliisi, Kyberturvallisuuskeskus, teleoperaattorit, Kuluttajaliitto ja muut – puhaltavat yhteen hiileen. Jokainen onnistunut huijaus on liikaa, mutta jokainen estetty huijaus on voitto meille kaikille.

Lopuksi voidaan todeta, että suomalaisten verkkopankeista viety raha on vakava ongelma, mutta ei selättämätön. Tieto on paras ase: tiedetään huijareiden keinot, tunnetaan varoitusmerkit ja uskalletaan tarvittaessa sanoa “ei” ja sulkea puhelin tai poistaa viesti. Silloin verkkorikolliset menettävät suurimman voimansa – ihmisten hyväuskoisuuden. Ollaan siis terveellä tavalla epäluuloisia verkossa, ja huolehditaan, että pankkiasiamme pysyvät omissa käsissämme. Yhdessä toimien voimme toivottavasti kääntää huijausten kasvukäyrän laskuun ja varmistaa, että digitaalinen pankkiasiointi pysyy luotettavana ja turvallisena meille kaikille.

Lähteet:

• Finanssiala ry – Antti Virolainen: Huijaukset rajussa kasvussa vuonna 2024 (19.2.2025)
• Digi- ja väestötietovirasto: Varo, varmista, varoita: Digihuijausten määrä kasvoi selvästi vuoden 2022 jälkipuoliskolla (29.3.2023)
• Yle Uutiset – Riina Mäentausta: Huijarit esiintyvät pankkivirkailijoina – ihmisten tileiltä on viety Itä-Suomessa huimia summia parissa viikossa (13.2.2023)
• Yle Uutiset – Varpu Helpinen: Lukuisilta S-Pankin tileiltä on viety rahaa laittomasti – Poliisi: maksuvälinepetoksia ainakin 53, tietomurtoja noin 150 (14.9.2022)
• MTV Uutiset – Hannakaisa Taskinen: Varoitus OP:n ja Danske Bankin asiakkaille (12.5.2025)
• Tivi – Ville Järveläinen: OP:n asiakkaille vaarallinen huijaus: Näin tunnistat sen (23.7.2025)
• Poliisi (Sisä-Suomen poliisilaitos): Varo internetin kaupankäynnissä leviävää haittaohjelmaa – rahasi ovat vaarassa (17.1.2025)
• Kyberturvallisuuskeskus (Traficom) viikkokatsaus 05/2025 (31.1.2025): Internetin kauppapaikoilla leviää nyt haittaohjelma
• Yle Uutiset – Anni Kavander: Operaattorit kertovat estäneensä miljoonia huijauspuheluita kesän aikana (9.8.2024)
• Rikosuhripäivystys (RIKU): Verkkopankkihuijauksen sattuessa pankki saattaa vastata menetyksistä (22.2.2023)
• Yle Uutiset – Otso Ritonummi: Näin joukko huijareita ohitti pankkien turvatoimet ja vei ihmisten rahat – rikollinenkin myönsi: ”On aika brutaalia” (4.12.2022)
• Future Banking (banking-gateway.com): Nordea loses $1.1 million to online fraud (22.1.2007)