Suomalaisten menetykset maksuhuijauksissa ovat edelleen kasvaneet

Muutosta on ollut vauhdittamassa digitalisaatio. Uudet ja yhä paremmin toimivat tekoälytyökalut ovat helpottaneet huijausten tekemistä suomeksi. Rikolliset hyödyntävät tietotekniikkaa ja kansainvälisiä verkostoja.  Automaatio ja reaaliaikainen tiedon leviäminen mahdollistavat sen, että uudet löydetyt haavoittuvuudet hyödynnetään nopeasti laajemmin. Oikea tilannekuva on edellytys sille, että rikosten ehkäisytoimet voidaan kohdistaa kustannustehokkaasti oikein. 

Tilannekuva Suomessa

Tilannekuvan luominen maksuhuijausten määrästä edellyttää useiden tietolähteiden käyttöä ja vertailua ja käytettävissä olevan tilastoaineiston tarkastamista. Suomen Pankki kerää tietoja maksutapahtumista ja näihin liittyviä petostietoja osana Suomen Pankin lakisääteistä tiedonkeruuta. Tietoja kerätään puolivuosittain; vuoden 2024 toisen puoliskon tietoja ei ole tätä kirjoitettaessa vielä käytettävissä.

Koska Suomen Pankin tilastoissa raportoijajoukko koostuu mm. maksupalvelun tarjoajista ja välittäjistä ja tietoja raportoidaan sekä maksun vastaanottajan että lähettäjän roolissa, joudutaan tiedoista suodattamaan kaksinkertaiset havainnot pois. Tarkastelussaan Suomen Pankki selvittää petoksia maksupalveluittain. Tiedoista ei kuitenkaan selviä petosten luontikanavien yksityiskohtia esimerkiksi palveluntarjoajien tai käytettyjen tekniikoiden suhteen. Liitteessä on täsmennetty, mitä maksutapahtumia on otettu mukaan ja jätetty pois aineistosta.

Suomen Pankin petostiedot sisältävät vain oikeudettomat maksut. Maksupalvelulain (PSD2) perustella maksutapahtuma katsotaan oikeudettomaksi, jos maksulla ei ole maksajan suostumusta. Käytännössä tämä tarkoittaa, että Suomen Pankin luvuista puuttuvat mm. toimitusjohtaja-, sijoitus-, tori- ja rakkaushuijaukset. Näissä huijauksissa uhri on nimenomaan houkuteltu hyväksymään maksu. Näistä huijaustyypeistä saadaan tietoja Finanssialan (FA) ja keskusrikospoliisin (KRP) julkaisemista tilastoista (kuvio 4). Vaikka näin syntynyt tilannekuva ei ole täsmällinen, ilmiön suuruusluokasta ja eri petosluokista saa tietolähteitä tutkimalla hyvän kuvan.

Vuoden 2024 ensimmäisellä puoliskolla maksutapahtumien arvojen yhteenlaskettu summa oli 1 907 mrd. euroa. Se sisältää maksupalvelut suuruusjärjestyksessä: tilisiirrot, korttimaksut, käteistapahtumat, suoraveloitukset ja muut maksupalvelut. Tilisiirtoja oli 1 865 mrd. euron arvosta ja kaikista maksutapahtumien arvosta ylivoimaisesti eniten, 98 % (kuvio 1). Korttimaksujen arvo oli 35 mrd. euroa ja osuus 2 %, käteistapahtumien 5 mrd. euroa, suoraveloitusten 1,8 mrd. euroa ja muiden maksupalvelujen 0,2 mrd. euroa. Maksupalveluiden väliset suhteet eivät ole muuttuneet ajassa kovinkaan paljon.

Kuvio 1.

Maksutapahtumista vain lähetetyissä tilisiirroissa ja tehdyissä korttimaksuissa esiintyy merkittävästi petollisia maksutapahtumia. Jäljempänä on esitetty petollisten maksujen ja näihin liittyvien tappioiden arvoja maksutavoittain (kuvio 2). Vain korttimaksut ja tilisiirrot on otettu kuvioon mukaan muiden maksupalveluiden systeemisen merkityksettömyyden takia.

Petoksista johtuvat tappiot raportoidaan viipeellä ja sille ajanjaksolle, jolle ne kirjataan raportoijan kirjanpitoon. Eli tappioita ei ole välttämättä raportoitu samalle periodille, jolloin petos on alun perin tehty. Tappioluvut sisältävät maksupalveluntarjoajan, maksupalvelunkäyttäjän tai muiden tappioita.

Kuvio 2.

Petollisia tilisiirtoja on arvoltaan selkeästi eniten, 31,8 milj. euroa vuoden 2024 ensimmäisellä puoliskolla.  Petollisia korttimaksuja oli samalla ajanjaksolla 7 milj. euron arvosta. Vastaavasti tappioita raportoitiin tilisiirroille 13,7 milj. euroa ja korttitapahtumille 6,4 milj. euroa (kuvio 2). Petolliset tilisiirrot kasvoivat edellisestä raportointiperiodista 35 % ja näihin liittyvät tappiot 25 %. Petolliset korttitapahtumat kasvoivat 40 % ja tappiot 44 %. Rahallisesti tappiot kasvoivat tilitapahtumissa 2,7 milj. euroa ja korttitapahtumissa 1,9 milj. euroa. Tappiot tili- ja korttitapahtumissa kasvavat samaa vauhtia (kuvio 2).

Kappalemääräisesti petollisia korttimaksuja oli 55 874 ja tilisiirtoja 8 953.

FA:n tietojen pohjalta voidaan todeta saman suuntainen kehitystrendi kuin Suomen Pankin luvuista. FA:n luvut sisältävät maksutilitapahtumat ilman luottokorttitapahtumia.

Kuvio 3.

FA:n lukujen perusteella petollisten maksujen torjunta- ja palautusprosentti on pysynyt 40:n tuntumassa vuodesta 2023. Onnistuneet huijaukset kasvoivat 39 % ja näistä koituvat tappiot 42 %. FA:n luvut ovat suurempia kuin Suomen Pankin. Osa eroista selittyy tilastointimenetelmästä, sillä Suomen Pankin petostiedot sisältävät vain oikeudettomat maksut.

FA:n arvioiden mukaan pankit pysäyttävät noin 90 % petosyrityksistä jo ennen maksun luontia. Nämä petosyritykset eivät sisälly tilastoituihin lukuihin. Tämä kertoo, että jo olemassa olevat torjuntamekanismit ovat kovassa käytössä, mutta eivät ole riittäviä. Lisäksi se kertoo, että rikollinen toiminta on laajuudessaan paljon suurempaa kuin mitä tilastoissa näkyy.

Sekä KRP että FA julkaisevat tietoja petostyypeittäin. KRP käyttää samaa petostyyppijaottelua kuin FA: tietojenkalastelupetokset, sijoituspetokset, toimitusjohtajapetokset, rakkaus- ja dokumenttipetokset.  Suomen Pankin petostietojen keruussa ei ole vastaavaa jaottelua eikä kattavuutta.

Tietojenkalastelupetoksissa rikolliset pyrkivät saamaan haltuunsa uhrin tilinkäyttöön oikeuttavia tietoja, kuten verkkopankkitunnuksia. Tietojenkalasteluun perustuvat petolliset maksut ovat rikollisen käynnistämiä ja näin oikeudettomia. Nämä sisältyvät Suomen Pankin tiedonkeruuseen.  Sijoituspetoksissa uhrille myydään olemattomia sijoituskohteita. Toimitusjohtajapetoksissa rikollinen voi tekeytyä yrityksen hierarkiassa ylempiarvoiseksi, kuten toimitusjohtajaksi, ja pyrkiä määräämään, että maksuliiketoimeksiantoihin kykenevä työntekijä tekee tilisiirtoja rikoksen tekijän hyödyksi. Rakkaus- ja dokumenttipetoksissa uhri houkutellaan uskomaan inhimilliseen tunteeseen tai saatavaan etuun, kunhan uhri ensin rahoittaa rikoksen tekijää. Petostyypeistä voi lukea lisää poliisin sivuilta.

Kuviossa 4 on FA:n ja KRP:n vuoden 2024 petoksiin liittyvät tappiot rinnastettuna. Lukujen erot saattavat johtua siitä, että pankkien tietoon eivät tule kaikki poliisille ilmoitetut petokset. KRP:n tilastossa on huomioitu vain tapaukset, joista tehdään rikosilmoitus. Poliisin luvut sisältävät myös korteilla tehtyjä petoksia. Lisäksi osa huijatuista ihmisistä ei syystä tai toisesta tee rikosilmoitusta. Jälleen voidaan todeta, että todelliset tappiot eri petostyypeistä ovat todennäköisesti suurempia kuin tiedonkeruussa on tavoitettu.

Kuvio 4.

Maksuhuijaukset ja petokset eivät ole ominaisia vain Suomelle.  Tyypillisesti maksuihin liittyvä rikollinen toiminta on kansainvälistä järjestäytynyttä rikollisuutta, joka toimii kaikkialla. Euroopan keskuspankin ja Euroopan pankkiviranomaisen julkaiseman raportin perusteella Euroopan talousalueella (ETA) petollisia tilisiirtoja oli vuosina 2022 ja 2023 puolivuotistasolla 1,1 mrd. euron arvosta. Myös ETA-alueella tilisiirrot dominoivat ja petolliset korttimaksut tulevat toisena. Noin puolet petollisista maksuista olivat rajat ylittäviä. Kansainvälisissä yhteyksissä on käynyt ilmi, että tilanne on sama globaalisti.

Rikosten torjunta järjestelmätasolla

Malesiassa sähköinen maksaminen yleistyi nopeasti pandemian aikana, mikä lisäsi nopeasti maksuhuijauksia ja -petoksia. Siellä päädyttiin perustamaan petostentorjuntakeskus vuonna 2022 ja sen toimintaa palvelemaan luotiin vuonna 2024 järjestelmäkokonaisuus kansallinen petosportaali. Keskuksen toimintaan osallistuvat kansallinen rahanpesun vastainen keskus (NFCC), Malesian kuninkaallinen poliisi (PDRM), Malesian keskuspankki (BNM), Malesian viestintä- ja multimedialautakunta (SKMM), rahoituslaitokset ja telekommunikaatioala. Portaalin kautta otetaan vastaan rikosilmoitukset sekä pankeilta että uhreilta. Järjestelmän osana toimii myös tietokanta, jonne tallennetaan mm. kaikki maksutapahtumat paikallisesta pienmaksujärjestelmästä, käteisnostoista ja QR-maksuista ja tileihin liittyvät tutkintatiedot ja petosepäilyt.

Järjestelmä palvelee poliisia varojen jäljittämisessä ja pysäyttämisessä. Järjestelmä toimii myös ns. muulitietokantana, josta pankit voivat kysellä tileihin liittyviä epäilytietoja, joita voidaan käyttää ehkäisemään petoksellisia maksuja.  Järjestelmä myös pisteyttää itse tilien epäilyttävyyttä analysoimalla maksuvirtoja.

Malesian kaltainen kokonaisvaltainen järjestelmä on vielä uusi, eikä sen toiminnan tuloksia ole raportoitu kuin alustavasti. Järjestelmän kattavuus mahdollistaa kuitenkin tehokkaan ja reaaliaikaisen maksupetosten jäljittämisen ja estämisen. Malesian kaltaisia kokonaisvaltaisempia petostentorjuntahankkeita on meneillään  Australiassa ja Singaporessa. Vastaavan järjestelmän aikaan saaminen Euroopassa ei ole käytännössä mahdollista järjestelmärakenteiden ja kansallisten säännösten vuoksi.  

Tietokantoja, joissa säilytetään tietoja epäilyttävistä tileistä, kutsutaan yleisesti muulitietokannoiksi. Termi muuli tulee erityisesti toiminnasta, jossa henkilö luovuttaa tilinsä rikollisten käyttöön siten, että kyseinen henkilö sallii rikollisen rahaliikenteen tekemisen tilinsä kautta. Muulina toimivat eivät aina tiedosta auttavansa rikollisia ja saattavat olla rikoksen uhreja itsekin.

Muulitietokannat ovat yksi tehokas tapa ehkäistä maksupetoksia. Muulitietokannat voivat sisältää analytiikkaa, jolla tilien epäilyttävyyttä voidaan pisteyttää niiden maksuprofiilien perusteella. Muulitietokantoihin voidaan raportoida myös suoraan tilejä, joita on käytetty rikoksissa tai parhaillaan tutkitaan. Kansainväliset muulitietokannat ovat tarpeen, koska ne tuovat rajat ylittävää torjuntakyvykkyyttä. Kansallisestikin tiedon jakamisella pystyttäisiin ehkäisemään osa petollisista maksuista.

Euroopassa mm. suomalaistenkin tilisiirtoja välittävä EBA Clearing tarjoaa tileihin liittyviä epäilyttävyysarvioita pankeille. Pohjoismaiden pankkien kesken on myös käytössä yhteinen muulitietokanta. Suomalaiset pankit hyödyntävät myös yhä useammin muulitietokantoja, mutta eivät uskalla jakaa omia tietojaan epäilyttävistä tileistä yhteiseen käyttöön.

Huijausten torjuntaa on tehostettava

Suomen Pankin, KRP:n ja FA:n tietojen perusteella petokset ja tappiot ovat edelleen kasvaneet. Suomen Pankin tiedoissa petollisten tilisiirtojen arvo kasvoi vuoden 2024 ensimmäisellä puoliskolla 64 % edellisen vuoden vastaavaan havaintoon nähden ja tappiot 42 %. Korttitapahtumissa vastaavat kasvulukemat olivat 93 % ja 71 % (kuvio 2). FA:n tietojen perusteella petolliset maksutilitapahtumat kasvoivat 39 % ja näihin liittyvät tappiot 42 % (kuvio 3). Kehityssuunta on huolestuttava, ja petosten torjumiseksi on tehtävä enemmän. Onneksi kaikkia torjuntakeinoja ei ole vielä käytetty.

Arvoltaan petolliset korttimaksutapahtumat ja näihin liittyvät tappiot ovat Suomen Pankin tietojen perusteella olleet hyvin lähellä toisiaan.   Tämä voi osittain johtua siitä, että petokset korttimaksamisen puolella on vanhempi ilmiö ja ne saadaan tehokkaammin estettyä. Korttimaksuissa on jo käytössä turvallisuutta edistäviä keinoja, joita ei tilisiirroissa vielä ole. On silti huomioitava, että tappioiden kasvu korttimaksuissa oli euromääräisesti saman suuntaista kuin tilisiirroissa (kuvio 2).

Korttimaksujen maakohtaisilla käyttörajoilla voidaan ehkäistä tehokkaasti korttitietojen väärinkäyttöä ulkomailla. Myös tilisiirtoihin tulee saada sellainen ominaisuus, että asiakkaan on mahdollista asettaa tilisiirroille maa- ja vastaanottajarajoituksia sekä maksujen arvorajoituksia päivätasolla. Tällaisia on jo joissain tapauksissa tarjolla. Lisäksi asiakkaan profiilin ja maksuhistorian pohjalta tehtäviä maksujen epäilyttävyysarvioita tulee kehittää ja hyödyntää epäilyttävien maksujen tunnistamiseksi ja pysäyttämiseksi. Epäilyttävien maksujen tunnistaminen ja pysäyttäminen on vastaava toiminto kuin rahanpesun estäminen ja sanktioseuranta. Petokset ja maksuvälinepetokset ovat KRP:n rahanpesun selvittelykeskuksen mukaan yleisin rahanpesun alkurikos Suomessa.

Suomessa lakia tulkitaan siten, että tietoja epäilyttävistä tileistä ei uskalleta jakaa vapaasti muiden toimijoiden ja viranomaisten kesken. Pankit käyttävät vaihtelevasti eri muulitietokantoja ja sanktiolistoja mutta eivät uskalla jakaa tietojaan näihin. Muulitietokantojen tehokkuus parantuisi, jos myös suomalaiset pankit jakaisivat tietojaan epäilyttävistä tileistä muille.  Muiden pohjoismaiden pankit jakavat jo tietoja keskenään muulitietokantojen kautta.

Viranomaisten ja finanssialan olisikin yhdessä tunnistettava tiedon jakamiseen liittyvät juridiset ongelmat ja pyrittävä korjaamaan ne, jotta rikosten torjuntaa saadaan tehostettua. Tavoitteena olisi sallia tietojen jakaminen pankkien ja viranomaisten kesken rikosten torjumiseksi kansainvälisessä ympäristössä, vähintäänkin Euroopan laajuisesti.

Pikamaksuasetuksen myötä lokakuusta 2025 eurooppalaisista tilisiirroista aletaan tarkastaa, vastaavatko vastaanottajan nimi ja tilinumero toisiaanVastaanottajan vahvistus, verification of payee (VoP).. Tämän toivotaan vähentävän petoksiin liittyviä ja virheellisiä maksuja. Toiminto ei kuitenkaan korvaa muulitietokantoja. Myös maksupalvelusääntely on uudelleentarkastelussa (PSD3), ja muutoksilla pyritään edistämään myös petostentorjuntaa. EU-neuvottelut ovat kuitenkin kesken, ja niiden arvioidaan päättyvän vuoden kuluessa.

FA on monissa kannanotoissaan korostanut myös muiden toimijoiden vastuita rikosten torjunnassa. Pankkien on vaikea torjua erityisesti sellaisia huijauksia, joissa asiakkaat toimivat valheiden ohjaamina. Puhelinoperaattorit ovat kyenneet toimimaan petollisten viestien ja puheluiden torjumiseksi. Vaikeampaa lienee saada some-, hakukone- ja tekoälyalustat mukaan ponnisteluihin.

Maksupalveluiden tuottajien rooli petosten torjunnassa on keskeinen. Ehkäisykeinojen moninaisuuden ja monimutkaisuuden takia on riski, että kaikki toimijat eivät toteuta ehkäisytoimia riittävällä tavalla ja vaarantavat samalla asiakkaansa.  Onkin mietittävä, onko maksupalveluntuottajat velvoitettava lainsäädännöllisesti tekemään enemmän petosten torjunnan minimitason varmistamiseksi.

Rikolliset hyödyntävät uusinta tekniikkaa ja onnistuvat tekemään onnistuneita petoskampanjoita myös pienille kielialueille, kuten Suomeen. Maksupalveluiden tuottajien on aiheellista miettiä, miten tekoälyä ja automatisointia voidaan hyödyntää paremmin kansainvälisessä digitaalisissa ympäristöissä petosten ehkäisemiseksi, rikollisten löytämiseksi ja syytteiden nostamiseksi. Kun pankin asiakas joutuu rikoksen kohteeksi ja rikos tehdään pankin palveluita käyttäen, altistuu myös pankki rikollisuudelle. Rikollisuuden torjunta ei ole kilpailullista toimintaa vaan yhteiskunnan kannalta välttämätöntä, jotta luottamus sähköisiin maksupalveluihin voidaan säilyttää.

• Tutustu Finanssivalvonnan osastopäällikkö Samu Kurrin blogiin (24.2.2025): "Taistelu huijauksia vastaan on jatkuvaa ja pitkäjänteistä yhteistyötä, johon osallistuvat niin palveluntarjoajat, asiakkaat kuin valvovat viranomaiset".

Liite

Maksutapahtumiin kuuluvat:

• korttimaksut suomalaisilla korteilla,
• käteisnostot suomalaisilla korteilla,
• käteistalletukset kauppojen kassoilla ja pankkiautomaateilla,
• lähetetyt rahanvälitykset,
• lähetetyt tilisiirrot,
• lähetetyt muut direktiiviin (EU) 2015/2366 sisältyvät maksut,
• Suomessa asetetut ja lunastetut sekit,
• sähkörahakorttien liikkeeseenlaskijoiden korteilla tehdyt sähköisen rahan maksut,
• vastaanotetut suoraveloituspyynnöt.

Maksutapahtumat, jotka on jätetty pois:

• maksunprosessoijien raportoimat korttimaksut,
• maksunvälittäjien raportoimat korttimaksut,
• vastaanotetut korttimaksut,
• vastaanotetut käteistalletukset,
• ulkomaisilla korteilla tehdyt käteisnostot,
• vastaanotetut muut direktiiviin (EU) 2025/2366 sisältyvät ja direktiiviin sisältymättömät maksut,
• tilin hyvitykset ja veloitukset yksinkertaisella tilikirjauksella,
• vastaanotetut sähköisen rahan maksut,
• vastaanotetut rahanvälitykset,
• lähetetyt suoraveloituspyynnöt,
• maksunvälittäjien raportoimat tilisiirrot,
• maksutoimeksiantopalveluntarjoajien (PISP) raportoimat tilisiirrot,
• vastaanotetut tilisiirrot,
• korttihyvitystapahtumat.