Aktia Pankille 865 000 euron seuraamusmaksun tietoturvallisuuden laiminlyönnistä

Janne Yli-Korhonen
28. lokakuuta, 2025 12:11

Tietosuojavaltuutetun toimiston seuraamuskollegio on antanut Aktia Pankille lähes miljoonan euron sakon.
865 000 euron seuraamusmaksu tuli tietoturvallisuuden laiminlyönnistä sähköisen tunnistamisen palvelussa.

Lyhytaikaisen häiriön vuoksi osa erilaisiin asiointipalveluihin Aktian pankkitunnuksilla kirjautuneista henkilöistä oli päässyt toisten asiakkaiden erittäin henkilökohtaisiin tietoihin, sillä palvelu sekoitti henkilöiden tunnistautumiset. Tietosuojavaltuutetun toimisto katsoo, että pankilla oli puutteita palveluun tehdyn teknisen muutoksen suunnittelussa, toteutuksessa ja testauksessa.
Häiriö tapahtui tammikuussa 2023 ja häiriö kesti noin tunnin. Häiriön aikana osa henkilöistä, jotka kirjautuivat Aktian verkkopankkitunnuksilla vahvaa tunnistamista vaativiin palveluihin, oli nähnyt toisten henkilöiden tietoja. Myös asiointi toisen asiakkaan nimissä oli ollut mahdollista, tiedotteessa kerrotaan.

Tietoturvaloukkauksen kohteeksi joutui noin 350 henkilöä. Häiriöstä johtuvaa tietojen väärinkäyttöä ei Aktian mukaan ole tiedossa.

"Vahvan tunnistautumisen on toimittava oikein, koska sillä on tarkoitus varmistaa palvelun käyttäjän henkilöllisyys ja tietojen pysyminen luottamuksellisena. Pankkitunnuksilla kirjaudutaan palveluihin, joissa olevien tietojen ei haluta päätyvän muiden nähtäväksi", apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa toteaa.

Tietosuojavaltuutetun toimisto selvitti Aktian toimintaa ja häiriöön johtanutta syytä. Selvityksessä havaittiin, että Aktian olisi tullut suunnitella ja toteuttaa tunnistuspalvelun tekninen muutos huolellisemmin ja testata palvelun toimintaa riittävästi muutoksen jälkeen.

Tietosuojavaltuutetun toimiston mukaan toimintoja olisi voitu testata nykyaikaisilla menetelmillä kattavammin. Häiriön jälkeen Aktia on ottanut käyttöön testausmenetelmiä, joilla voidaan varmistaa, etteivät tunnistautumiset mene ristiin.

Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi Aktialle hallinnollisen seuraamusmaksun, sillä pankki ei ollut noudattanut tietosuojalainsäädännön vaatimuksia henkilötietojen turvallisesta käsittelystä. Seuraamusmaksun määrän arvioinnissa huomioitiin, että Aktialla oli ollut valmius reagoida häiriötilanteeseen nopeasti ja että se oli ryhtynyt viipymättä toimiin tilanteen korjaamiseksi, jolloin vahinkoja oli pystytty lieventämään.

Apulaistietosuojavaltuutettu antoi pankille myös huomautuksen tietosuoja-asetuksen rikkomisesta. Päätökset eivät ole vielä lainvoimaisia ja niihin voi hakea muutosta valittamalla hallinto-oikeuteen.