S-Pankille seuraamusmaksu S-mobiilin tietoturvahaavoittuvuudesta

Julkaisuajankohta 10.9.2025 14.00
Tyyppi:Tiedote

Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt S-Pankille 1,8 miljoonan euron seuraamusmaksun tietoturvallisuuden laiminlyönnistä verkkopankin tunnistautumisessa. Tunnistautumispalvelussa vuonna 2022 olleen ohjelmistovirheen vuoksi kirjautuminen verkkopankkiin ja vahvaa tunnistautumista käyttäviin verkkopalveluihin oli mahdollista toisen asiakkaan tunnuksilla.

Tietosuojavaltuutetun toimisto selvitti tietoturvaloukkausta S-Pankin elokuussa 2022 tekemän ilmoituksen perusteella. Pankki oli ottanut huhtikuussa 2022 käyttöön uuden kirjautumistoiminnallisuuden S-mobiilissa. Ohjelmistossa oli ilmennyt tietoturvahaavoittuvuus, joka oli ollut hyödynnettävissä yli kolmen kuukauden ajan huhtikuusta elokuuhun.

Haavoittuvuuden vuoksi osa pankin asiakkaista joutui tietoturvaloukkauksen kohteeksi. Käytännössä haavoittuvuus koski merkittävää osaa pankin asiakkaista. Pankkitunnusten väärinkäytökset aiheuttivat asiakkaille taloudellista vahinkoa. S-Pankki on ilmoittanut korvanneensa asiakkaille suorat menetykset.

Puutteita suojatoimissa ja tietoturvahaavoittuvuuden selvittämisessä

Tietosuojavaltuutetun toimiston selvityksessä havaittiin, että S-Pankilla ei ollut käytössä riittäviä suojatoimia henkilötietojen turvallisuuden varmistamiseksi. Pankki ei ollut testannut uutta ohjelmistoa riittävästi ennen sen käyttöönottoa, eikä se ollut havainnut haavoittuvuutta ennen kuin toiminnallisuus otettiin käyttöön. Se ei myöskään reagoinut riittävällä tavalla asiakkaidensa yhteydenottoihin, joissa ilmoitettiin poikkeamista verkkopankin kirjautumisessa.

"Tämä tapaus osoittaa, että organisaatioiden on tarpeen panostaa riittävään tietoturvaan ja testaukseen huomioiden riskit, joita niiden henkilötietojen käsittelyyn liittyy. Tämä korostuu pankkien kohdalla, koska pankkitietojen väärinkäyttö voi aiheuttaa ihmisille suuria vahinkoja”, apulaistietosuojavaltuutettu Annina Hautala toteaa.

”Tällaisissa tilanteissa on toimittava nopeasti. Asiakkaiden on voitava luottaa siihen, että heidän pankki- ja tilitietonsa ovat turvassa”, Hautala sanoo.

Seuraamusmaksu tietosuojavaatimusten laiminlyönnistä

Apulaistietosuojavaltuutettu katsoo, että S-pankin toiminta rikkoi EU:n tietosuoja-asetuksen vaatimuksia henkilötietojen turvallisesta käsittelystä. Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi pankille 1,8 miljoonan euron seuraamusmaksun ja apulaistietosuojavaltuutettu antoi huomautuksen tietosuojalainsäädännön vastaisesta menettelystä. Seuraamuskollegio piti seuraamusmaksun määräämistä tietosuojarikkomuksesta välttämättömänä ihmisten oikeussuojan tarpeen, asian yleisen merkittävyyden sekä tietosuojavaltuutetun S-Pankille aiemmin antaman huomautuksen vuoksi.

Finanssivalvonta arvioi S-Pankin toimintaa samassa tapahtumakokonaisuudessa eri rikkomusten osalta ja määräsi toukokuussa 2025 sille 7 670 000 euron seuraamusmaksun laiminlyönneistä operatiivisten riskien hallinnassa. Seuraamuskollegio otti seuraamusmaksun määräämisessä huomioon myös Finanssivalvonnan päätöksen ja kohtuullisti seuraamusmaksun määrää sen perusteella. Tietosuojarikkomuksista annetun seuraamusmaksun määrä on noin kolmasosa summasta, joka se olisi ollut ilman Finanssivalvonnan määräämää seuraamusmaksua.

Päätös ei ole vielä lainvoimainen ja siitä voi valittaa hallinto-oikeuteen.

Seuraamuskollegion ja apulaistietosuojavaltuutetun S-pankkia koskevat päätökset Finlex-palvelussa

Lisätietoja:

Apulaistietosuojavaltuutettu Annina Hautala, annina.hautala(at)om.fi, puh. 029 566 6776

Mediayhteydenotot: viestintäsuunnittelija Sara Jaakonmäki, viestinta.tietosuoja(at)om.fi, puh. 029 566 6764

Finanssivalvonnan tiedote 23.5.2025: S-Pankki Oyj:lle 7 670 000 euron yhteinen seuraamusmaksu ja julkinen varoitus (finanssivalvonta.fi)

Tietosuojavaltuutetun toimiston tiedote 15.9.2022: Tietosuojavaltuutettu selvittää S-Pankin järjestelmähäiriötä – S-Pankki on ilmoittanut olleensa yhteydessä tietoturvaloukkauksen kohteeksi joutuneisiin asiakkaisiin

Päivitetty 10.9.2025 klo 17.30:

  • Oikaisu: haavoittuvuus koski merkittävää osaa pankin asiakkaista eli kaikkia S-mobiili-sovellusta käyttäviä henkilöitä, ei kaikkia pankin asiakkaita.
  • ​​​​​​​Täsmennetty ingressiin, että kirjautumisen mahdollistanut ohjelmistovirhe oli ollut tunnistautumispalvelussa.
  • Täsmennetty, että Finanssivalvonnan päätös koski samaa tapahtumakokonaisuutta.

Seuraamuskollegion päätöksenteosta ja rekisterinpitäjien oikeusturvasta säädetään kansallisessa tietosuojalaissa. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Kollegio on toimivaltainen määräämään hallinnollisia seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Seuraamusmaksujen enimmäismäärä on neljä prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa.