Talous­elämä: S-pankissa yli 70 tietoturva­loukkausta parissa vuodessa

Asiakkaiden tietoja sisältänyt salkku annettiin vahingossa Postin kuljetettavaksi ja katosi. Lompakkovaras huijasi asiakaspalvelua ja nosti lainoja. Talouselämän mukaan S-pankissa on tapahtunut verrattain paljon tietoturvaloukkauksia kahden viime vuoden aikana.

S-pankin mukaan sillä on 3,2 miljoonaa asiakasta.

12.1. 20:41 | Päivitetty 13.1. 9:14

S-Pankissa on tapahtunut yli 70 tietoturvaloukkausta vuosina 2021–2022. Asiasta kertoo Talouselämä, joka on selvittänyt S-pankissa tapahtuneita tietoturvaloukkauksia edellisiltä kahdelta vuodelta lokakuuhun 2022 asti.

Tuona aikana henkilötietojen tietoturvaloukkauksia on tapahtunut S-Pankissa noin 75 kertaa.

Talouselämän mukaan lukuisissa tapauksissa on kyse siitä, että Posti on kuljettanut pankin papereita väärään osoitteeseen, mutta osassa tapahtumista on kuitenkin kyse S-pankin omasta toiminnasta.

Lehti toteaa, että tietoturvaloukkausten määrä on S-pankin markkinaosuuteen suhteutettuna melko korkea.

S-pankin markkinaosuus on Suomessa talletusten määrällä mitattuna noin neljä prosenttia. Markkinajohtaja OP-ryhmän vastaava osuus on 39 prosenttia. Sillä tietoturvaloukkauksia tapahtui vastaavalla ajanjaksolla 19.

Nordealla, jonka markkinaosuus on 28 prosenttia, tietoturvaloukkauksia oli 144.

Viime syyskuussa tuli ilmi S-pankin asiakkaisiin kohdistunut petossarja, jossa pankin asiakkaiden tileiltä oli viety rahaa tilisiirroilla. Tuolloin tutkinnanjohtaja arvioi vyyhdin rikoshyödyn olevan yli miljoona euroa.

Rikoksissa käytettiin hyväksi pankin tietojärjestelmässä ollutta haavoittuvuutta.

Tapaukseen liittyen kerrottiin myös, että viranomaiset tutkivat myös S-pankin mahdollisia tietoturvarikkeitä.

Lue lisää: Viranomainen tutkii S-pankin mahdollisia tietoturvarikkeitä – ”Uskoisin, että S-ryhmän toiminta herättää luottamusta”, sanoo SOK:n liiketoiminta­johtaja

Talouselämän selvityksessä kerrotaan tapauksista, joissa asiakkaiden tietoja sisältäviä papereita on kadonnut tai joutunut väärille henkilöille.

Esimerkiksi eräässä tapauksessa sisäiseen postiin tarkoitettu salkku, joka sisälsi asiakkaiden tietoja, annettiin erehdyksessä Postin kuljetettavaksi.

Salkussa oli kolme asiakkaiden luottokorttihakemuslomaketta, kolmen tilisopimuksen liitteet sekä yhden kuolinpesän asiakirjoja.

Tapaus sattui Nokian Prisman pankkikonttorissa. Vahinko huomattiin vasta pari viikkoa myöhemmin.

Pirkanmaan osuuskauppa pyysi Postilta selvitystä tapahtuneesta. Posti piti todennäköisenä, että salkku oli päätynyt Tampereen postikeskukseen. Salkkua ei kuitenkaan löytynyt, ja asiakasdokumentit jäivät kateisiin.

S-pankin omistavat Suomen osuuskauppojen keskuskunta SOK sekä S-ryhmään kuuluvat eri alueiden osuuskaupat.

S-pankin mukaan sillä on 3,2 miljoonaa asiakasta. Suuri asiakasmäärä selittyy sillä, että osuuskaupan asiakasomistajien S-etukortteihin liitetään nykyisin S-pankin tili, johon kauppaostoksista syntyvät bonusrahat siirtyvät suoraan.

Etukortin voi ottaa myös ilman tiliä, mutta silloin rahallinen hyöty jää saamatta. S-ryhmä on siis käytännössä kasvattanut omistamaansa pankkiliiketoimintaa kauppa-asiakkaidensa kautta.

Toisessa tapauksessa lompakkovaras onnistui ottamaan lainoja väärällä identiteetillä.

S-pankin asiakkaalta oli varastettu lompakko, jossa oli muun muassa verkkopankkitunnukset, pankkikortti ja ajokortti. Asiakas oli sulkenut pankkitunnukset ja pankkikortin pian katoamisen jälkeen.

Lompakkovaras kuitenkin soitti pankin asiakaspalveluun esiintyen asiakkaana. Hän sai pelkällä puhelulla avattua pankkitunnukset.

Asiakaspalvelun työntekijä toimi vastoin pankin ohjeita, sillä tunnukset olisi saanut avata vain, kun asiakas on käynyt pankin konttorilla ja hänen henkilöllisyytensä on varmistettu.

Talouselämä kertoo, että lompakkovaras avasi uuden tilin ja haki lainoja. Myöhemmin varas käytti saamiaan lainarahoja ja hyödynsi rahastoja.

Väärinkäytösten kohteeksi joutuneet tilit suljettiin vasta yli kaksi viikkoa lompakkovarkaan puhelun jälkeen, kun asiakas reklamoi S-Pankin toiminnasta Pirkanmaan osuuskaupassa sijaitsevassa palvelupisteessä.

S-Pankin laatimasta asiakirjasta ei käy ilmi, kuinka paljon lompakkovarkaalle myönnettiin lainoja, eikä myöskään se, onko S-Pankki tai Pirkanmaan osuuskauppa korvannut asiakkaalle mahdollisesti aiheutunutta vahinkoa, Talouselämä kertoo.

Lehti kertoo myös, että aineistossa on lukuisia tapauksia, joissa kuolinpesien luottamukselliset paperit ovat kadonneet, kun ne on toimitettu osuuskauppojen palvelupisteille.

Lisäksi löytyy eräs tapaus, jossa asiakkaalla oli ollut yhdentoista vuoden ajan hallussaan toisen asiakkaan tilisopimusdokumentti.

Asiakirja oli nidottu erehdyksessä asiakkaan papereihin vuonna 2010. Vahingossa paperit saanut asiakas palautti paperit pankkiin huomattuaan tilanteen sattumalta. Tilisopimuksessa oli toisen asiakkaan nimi, osoite, henkilötunnus ja tilinumero.

S-pankki kommentoi tietoturvaloukkauksia Talouselämän jutussa sähköpostitse.

Pankki vakuuttaa valvovansa jatkuvasti pankkisalaisuuteen ja pankkiasiakirjojen käsittelyyn liittyvien ohjeiden noudattamista.

”Uusille työntekijöille koulutetaan tietosuojaan liittyviä asioita perehdytyksen yhteydessä. Lisäksi kaikille työntekijöille järjestetään säännöllisesti aihealueesta pakollisia koulutuksia, joiden suorittamista valvotaan”, S-pankin myynnin kehityspäällikkö Henri Häikiö kommentoi lehdelle.

Kaikille S-Pankin asioita hoitaville osuuskauppojen työntekijöille on määritelty pätevyysvaatimukset, joiden täytyy toteutua, jotta henkilö voi tehdä pankkityötä. S-Pankki ei kerro viestissä tarkemmin, millaisia pätevyysvaatimukset ovat, Talouselämä toteaa.

Muokattu 13.1. kello 9.14. Lisätty linkki alkuperäiseen juttuun.

Seuraa ja lue artikkeliin liittyviä aiheita