Elämä ei ole samanlaista sen jälkeen kun omat tiedot ovat joutuneet vääriin käsiin.

Keravalaisen Petri Kaupin ja hänen vaimonsa henkilötunnukset ja osoitteet päätyivät rikollisille muutama vuosi sitten. Siitä lähtien varkaat ovat pystyneet käyttämään niitä tilauspetosten tekemiseen periaatteessa milloin vain.

– Nykyään melkein jokainen vähänkin epäilyttävä asia nostaa niskakarvat pystyyn. Jos tulee jokin erikoinen tekstiviesti, tarkistan heti kaikki mahdolliset lähteet, onko nimissäni esimerkiksi tilattu jotain, mitä en ole itse tilannut, hän sanoo.

Suomessa on kymmeniä tuhansia henkilötunnuksia, jotka ovat päätyneet rikollisille. Kahdeksan vuoden takaisen oppilaitosten tietovuodon saalis on edelleen ahkerassa käytössä, mutta tunnuksia joutuu vääriin käsiin myös hukatuista korteista, postilaatikoista ja paperinkeräyksestä.

Tietoturva-asiantuntijoiden mukaan pelkän hetun ja osoitteen ei pitäisi enää missään nimessä riittää tunnistautumiseen. Kuitenkin ne riittävät: esimerkiksi kertaluonteisia luotto-ostoksia voi tehdä edelleen ilman vahvaa tunnistautumista. Tällaisia tietoturva-aukkoja on varsinkin luottoyhtiöillä ja teleoperaattoreilla.

– Niin kauan kuin tilauspetoksista ei ole riittävästi haittaa, yritykset eivät ole valmiita puuttumaan, sanoo rikoskomisario Hannu Kortelainen Helsingin poliisista.

Uhrin tehtävä on selittää, että en ole ostanut, en ole käyttänyt, en ole tilannut. "Markus"

Syksyllä uhrien asema paranee – mutta ei tarpeeksi

Syyskuussa tietomurtojen uhrien asema paranee jonkin verran, kun EU:n uusi maksupalveludirektiivi tulee voimaan. Verkkokauppojen on otettava käyttöön vahva tunnistus, eli asiakkaalta vaaditaan esimerkiksi salasana tai PIN-koodi ja avainlukusovellus.

– Esimerkiksi pelkkä luottokortin numero ja kortin pinnalla oleva turvakoodi eivät enää riitä maksamiseen, vaan siihen on lisättävä elementtejä, joilla asiakas tunnistetaan vahvasti, sanoo Finanssivalvonnan johtava lakimies Sanna Atrila.

Sanna Atrilan mukaan uusi maksupalveludirektiivi parantaa maksamisen turvallisuutta monella tavalla. Seppo Ahava / Yle

Keravalaisen Petri Kaupin kaltaiset identiteettivarkauden uhrit eivät kuitenkaan pääse pälkähästä. Direktiivi ei nimittäin koske tilanteita, joissa ostetaan vaikkapa vain yksi puhelin kertaluotolla. Lakiin jo kymmenen vuotta sitten säädetyn poikkeuksen mukaan hyödykesidonnaiset kertaluotot eivät vaadi vahvaa tunnistautumista.

– Poikkeus perustuu tilanteeseen vuosia sitten eivätkä sen perusteet ole ihan tätä päivää. Olen kiinnittänyt huomiota siihen, että tämä on jonkinlainen puute, Atrila sanoo.

Suomeksi sanottuna "jonkinlainen puute" tarkoittaa sitä, että vääriin käsiin joutunut henkilötunnus on edelleen riski. Jos esimerkiksi luottoyhtiöllä ei ole käytössä vahvaa tunnistautumista, pelkkä henkilötunnus auttaa luomaan tilin. Tällöin varas voi tilata kertaluontoisen luottosopimuksen avulla vaikkapa puhelimen, jota hänellä ei ole aikomustakaan maksaa.

Yksi yhtiö, joka identiteettivarkauksien uhrien haastattelujen ja oikeuden ratkaisujen perusteella nousee usein esille, on ruotsalainen luottoyritys Klarna.

"Hän vähän hiiltyi"

Lounaissuomalaisen "Markuksen" tarina identiteettivarkaan uhrina on tuskallisen tuttu. Hänen henkilötunnuksensa päätyi pimeille markkinoille vuoden 2011 suuren hetudump.txt-tietovuodon yhteydessä.

Kahdeksaan vuoteen siitä ei seurannut mitään, kunnes ensimmäinen outo lasku tuli alkuvuodesta 2019. Kirjeen mukaan Markus ei ollut maksanut hänen nimissään tilattua matkapuhelinta.

Kun hän soitti matkapuhelimen myyneeseen yritykseen, hänet ohjattiin ottamaan yhteyttä Klarnaan, jonka luottosopimuksella puhelin oli ostettu. Tietojärjestelmiä työkseen tekevä Markus tenttasi Klarnan tietoturvasta vastaavalta henkilöltä, miten he voivat luottaa pelkkään henkilötunnukseen asiakkaan tunnistamisessa.

– Hän vähän hiiltyi ja sanoi, että ei se ole ainoa, mitä he käyttävät.

Ylelle lähettämässään sähköpostissa Klarna kertoo käyttävänsä asiakkaiden tunnistamiseen "tuhansia datapisteitä, joista henkilötunnus ja osoite ovat vain kaksi". Niihin kuuluvat muun muassa laite- ja tilaustiedot sekä asiakashistoria.

Yhtiön mukaan "äärimmäisen alhainen prosentti" sen avulla tehdyistä ostoksista on huijauksia ja "ehdoton enemmistö kaikista huijausyrityksistä" havaitaan ja estetään.

Jos helppoutta haetaan, riskien ei pitäisi kaatua kuluttajan niskaan. Leena Romppainen

Joka tapauksessa Klarnan suojaus petti paitsi "Markuksen" tapauksessa, myös Petri Kaupin ja hänen vaimonsa tapauksissa. Lisäksi tälläkin hetkellä Helsingin käräjäoikeudessa on käsittelyssä tilauspetosten sarja, jossa yhtiö on asianomistajana. Klarnaa on hiillostettu tietoturvasta ennemminkin (siirryt toiseen palveluun).

Identiteettivarkaan uhrin ei tarvitse maksaa ostoksia, joita rikollinen on hänen nimissään tehnyt. Uhrin on kuitenkin selviteltävä itse asiat poliisin, kauppojen ja luottofirmojen kanssa. Usein hänen on myös hankittava vapaaehtoinen luottokielto, joka maksaa.

– Uhri on se, joka kärsii. Uhrin tehtävä on selittää, että en ole ostanut, en ole käyttänyt, en ole tilannut. Yritykset, jotka mahdollistavat rikokset, eivät siltikään taivu, Markus sanoo.

Miksi vahvaa tunnistusta ei vaadita kaikilta?

Miksi maksupalveluyritykset eivät yksinkertaisesti ota käyttöön vahvaa tunnistusta? Syy löytyy keskustelusta, jota myös suomalaiset verkkokaupat ovat käyneet EU:n maksupalveludirektiivin voimaantulon lähestyessä.

Yritykselle vahvan tunnistuksen käyttöönotto maksaa. Lisäksi se tekee asioinnista usein hieman monimutkaisempaa, mikä voi olla yrityksen liikeideaa vastaan. Esimerkiksi juuri Klarna on houkutellut asiakkaita maksamisen helppoudella – "smooth payments" on sen tunnetuimpia markkinointilauseita.

– Ymmärrän sen helppouden, mutta jos helppoutta haetaan, riskien ei pitäisi kaatua kuluttajan niskaan, arvostelee kansalaisten sähköisiä oikeuksia puolustavan Effi ry:n puheenjohtaja Leena Romppainen.

Minusta on hyvin pieni vaiva antaa muutama tunnusluku järjestelmään. Petri Kauppi

Parhaillaan Suomessa valmistellaan henkilötunnusten uudistamista. Siitäkään on turha odottaa helpotusta henkilötunnuksensa vääriin käsiin menettäneille. Uudistusta valmistelleen Väestörekisterikeskuksen johtajan Timo Salovaaran mukaan ongelma ei ole henkilötunnuksessa, vaan sen käytössä.

– Jos kaikilta vaihdettaisiin henkilötunnus, ei olisi mitenkään ylivoimaista rikollisille kerätä niitä lisää. Ongelma poistuisi, jos missään tilanteessa ei enää pidettäisi henkilötunnusta riittävänä tunnistamiseen.

"Olisin valmis jopa maksamaan"

Petri Kauppi päätyi ottamaan vaimonsa kanssa vapaaehtoiset luottokiellot, jotta tilauspetokset loppuisivat. Seppo Ahava / Yle

Petri Kaupista tuntuu oudolta, että kymmeniätuhansia hänen kaltaisiaan koskevaa tietoturva-aukkoa ei haluta tukkia. Verkko-ostoksia tekevänä asiakkaana ja identiteettivarkauden uhrina hän maksaisi mielellään hieman ylimääräistä siitä hyvästä, että vahva tunnistus olisi käytössä kaikissa luottoyrityksissä ja puhelinoperaattoreissa.

– Minusta on hyvin pieni vaiva antaa muutama tunnusluku järjestelmään. Ei se minun mielestäni lisää vaivaa turvallisuuteen nähden. Olisin valmis jopa maksamaan siitä.

Hänen kohtalotoverillaan "Markuksella" on oma teoria, miksi näin on. Pelkkä pankkitunnusten kaivaminen esiin voi antaa asiakkaalle riittävästi aikaa harkita ostosta ja mahdollisesti perua se.

– Ja kun se on joillakin yrityksillä liikeidea, he taistelevat viimeiseen asti, että toimintaa ei tarvitsisi muuttaa.