Identiteettivarkaus rikoslain mukaan

Mitä sinulle tulee ensimmäisenä mieleen sanasta identiteettivarkaus?

Todennäköisesti sinulle tulee mieleen ajatus siitä, että joku esiintyy sinun nimelläsi ja sinun henkilöllisyyttäsi hyväksikäyttäen.

Surullisinta on se, että identiteettivarkaudet eivät ole enää kovinkaan harvinaisia.

Erään tiedon mukaan Yhdysvalloissa noin 15 miljoonaa ihmistä joutui joko identiteettivarkauden tai petoksen kohteeksi vuonna 2016. Sitä edellisestä vuodesta eli vuodesta 2015 kasvua oli 16 prosenttia.

Entäpä Euroopan puolella?

Yhdistyneissä Kuningaskunnissa erilaiset identiteettivarkaudet nousivat ennätyslukemiinsa vuonna 2016. Erilaisia identiteettiä koskevia petoksia havaittiin noin 173 000 kappaletta ja niiden osuus kaikista petoksista oli noin 53,3 %. Näistä 88 % tehtiin verkossa. Useimmissa tapauksissa on kyse siitä, että henkilö on esiintyvinään joko tuotteen ostajana tai lainanottajana.

Miten on asian laita Suomessa?

Välillähän meillä voi olla sellainen näkemys, että se mitä tapahtuu maailmalla, ei kyllä voi ikipäivänä tapahtua Suomessa.

Identiteettivarkaus ei valitettavasti Suomessakaan ole enää millään tapaa epätavallista. Erään arvion mukaan Suomessa tapahtuu joka päivä lähes 100 identiteettivarkautta.

identiteettivarkauksien-maara

Lyhyellä laskutoimituksella (100 * 365) päästäisiin tällöin noin 36 500 identiteettivarkauteen per vuosi.

Vaikkei mitään yleistyksiä kannatakaan tehdä, on vuosittaisia lukuja vertailtaessa hyvä pitää mielessä, että Yhdistyneet Kuningaskunnat ja Yhdysvallat ovat kuitenkin väkiluvultaan hieman toisessa suuruusluokassa.

Mitä sitten identiteettivarkaudella tarkemmin ottaen tarkoitetaan?

Tässä kirjoituksessa identiteettivarkaus on tarkoitus määritellä käyttämällä apuna sitä määritelmää, joka löytyy Suomen rikoslaista. Tämän jälkeen on tarkoitus tarkastella sitä, minkälaisia seuraamuksia identiteettivarkaus voi siihen syyllistyvälle tuoda mukanaan.

Ennen kuin tarkastellaan identiteettivarkautta rikoslain näkökulmasta, kiinnitetään huomiota lyhyesti identiteettivarkautta koskevan säännöksen historiaan.

Identiteettivarkauden säännöshistoria

Identiteettivarkaus ei ole suinkaan mikään kovinkaan vanha käsite rikoslaissa. Itse asiassa identiteettivarkaus on päässyt mukaan rikoslakiin vasta aivan viime vuosina (tarkemmin ottaen vuonna 2015). Tähän on ollut syynä EU:n ns. tietoverkkorikosdirektiivi, joka on edellyttänyt muutoksia Suomen kansalliseen lainsäädäntöön.

Tietoverkkorikosdirektiivin 9 artiklassa ja sen 5 kohdassa todetaan seuraavasti:

Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että jos 4 ja 5 artiklassa tarkoitetut rikokset on tehty käyttämällä väärin toisen henkilön henkilötietoja tarkoituksena voittaa kolmannen osapuolen luottamus ja aiheuttaen näin vahinkoa henkilöllisyyden oikealle omistajalle, tätä voidaan kansallisen lain mukaisesti pitää raskauttavana asianhaarana, jolleivät nämä asianhaarat jo kuulu jonkin muun kansallisen lain mukaisesti rangaistavan rikoksen tunnusmerkistöön.

4 ja 5 artiklassa koskevat rikokset tarkoittavat laitonta tietojärjestelmän häirintää sekä laitonta datan vahingoittamista.

Suomessa katsottiin niin, ettei Suomessa oikeastaan ollut olemassa säännöksiä, jotka kattaisivat 5 artiklan mukaiset tilanteet. Tämän vuoksi Suomessa nähtiin, että direktiivin asettamat velvoitteet voidaan täyttää niin, että laaditaan identiteettivarkaudelle itsenäinen kriminalisointi, joka vastaa direktiivin määräyksiä, muttei kuitenkaan rajoitu ainoastaan 4 ja 5 artiklassa mainittuihin tilanteisiin.

Identiteettivarkaus rikoslaissa

Miten siis identiteettivarkaus on rikoslaissa kriminalisoitu?

Vastaus kysymykseen selviää rikoslain 38 luvun 9 a §:stä:

Joka erehdyttääkseen kolmatta osapuolta oikeudettomasti käyttää toisen henkilötietoja, tunnistamistietoja tai muuta vastaavaa yksilöivää tietoa ja siten aiheuttaa taloudellista vahinkoa tai vähäistä suurempaa haittaa sille, jota tieto koskee, on tuomittava identiteettivarkaudesta sakkoon.

identiteettivarkaus

Ennen kuin tutustutaan yksityiskohtaisemmin pykälän varsinaiseen sisältöön, katsotaan vielä hieman lisää taustaa ko. lakipykälälle.

Mitä rikoslaissa identiteettivarkaudella tosiasiallisesti suojataan?

Pykälän kannalta on nimittäin oleellista tietää, mitä pykälällä itse asiassa halutaan suojata. Tietorikosdirektiivissä ajatuksena on suojata pikemminkin tietojärjestelmää ja dataa, kun taas rikoslaissa tarkoitus on suojata nimenomaan identiteetin loukkaamattomuutta.

Identiteettivarkaudessa on myös kyse eri asiasta kuin petoksessa, koska suojeluobjekti on eri. Petoksen kriminalisoinnilla suojellaan nimenomaan erehdytettävän henkilön omaisuuden suojaa. Identiteettivarkaudessa suojeluobjektina on puolestaan sen henkilön identiteetin loukkaamattomuus, jonka henkilötietoja käytetään hyväksi. Henkilön identiteettiä voidaan taas käyttää hyödyksi esimerkiksi petosrikoksen tekemiseksi. Tämän vuoksi on täysin mahdollista, että rikoksen tekijä tuomitaan niin petoksesta kuin identiteettivarkaudesta.

Mitä rikoslain mukainen identiteettivarkaus edellyttää?

Rikoslain 38 luvun identiteettivarkautta koskevasta 9 a §:stä on nähtävissä kolme eri edellytystä, joiden on täytyttävä, jotta kyseessä olisi identiteettivarkaus. Nämä edellytykset ovat seuraavat:

  • kolmatta osapuolta erehdytetään oikeudettomasti
  • käyttäen toisen henkilötietoja, tunnistamistietoja tai muuta vastaavaa yksilöivää tietoa ja
  • aiheuttaen taloudellista vahinkoa tai vähäistä suurempaa haittaa sille, jota tieto koskee

Näitä edellytyksiä käydään läpi seuraavaksi yksitellen.

Kolmannen osapuolen oikeudeton erehdyttäminen

Jotta voisimme ymmärtää oikein, mitä kolmannen osapuolen oikeudettomalla erehdyttämisellä tarkoitetaan, on ensiksi ymmärrettävä oikein käsitteet “kolmas osapuoli”, “oikeudeton” ja “erehdyttäminen”, ja tämä siis nimenomaan rikoslain säännöksen näkökulmasta. Kun ymmärtää osatekijät, on helpompaa hahmottaa kokonaisuus.

Usein kolmannella osapuolella tarkoitetaan esimerkiksi jonkin sopimuksen ulkopuolista tahoa. Rikoslain identiteettivarkautta koskevassa säännöksessä kolmannella osapuolella voidaan kuitenkin tarkoittaa myös henkilöiden luomaa tai ylläpitämää tietojärjestelmää.

Erehdyttämisen osalta keskeistä taas on se, että erehdyttämisen tulee koskea nimenomaan henkilöllisyyttä tai identiteettiä. Erehdyttämisen tulee samoin olla oikeudetonta ja oikeudetonta ei ole esimerkiksi se, että henkilö käyttää omaa nimeään.

Näin ollen identiteettivarkaudessa on kyse siitä, että kolmatta henkilöä, joka voi olla myös tietojärjestelmä, tulee erehdyttää nimenomaan henkilöllisyydestä tai identiteetistä ja tällaisen erehdyttämisen tulee olla oikeudetonta, eli henkilö ei käytä esimerkiksi omaa nimeään, johon hänellä on tietysti oikeus.

Toisen henkilötietojen, tunnistamistietojen tai muiden vastaavien yksilöivien tietojen käyttäminen

Tässä kohdassa tarkoitetuilla tiedoilla tarkoitetaan oikeastaan mitä tahansa tietoja, joiden perusteella kolmas osapuoli voi erehtyä pitämään tiedon käyttäjää siksi, jonka tiedoista on kyse. Kyseeseen voivat tulla siis esimerkiksi tiettyä henkilöä koskevat henkilötiedot, jotka voidaan tunnistaa tiettyä henkilöä tai hänen perhettään koskeviksi. Aivan mikä tahansa ns. irrallinen tieto ei kuitenkaan riitä, vaan käytettyjen tietojen tulee liittyä tunnistamiseen tai kytkeytyä siihen ja näin mahdollistuu henkilön tunnistaminen ja samalla myös tietenkin erehtyminen.

Yksinkertaisesti sanottuna, vaikka tieto olisikin henkilötieto, sillä ei ole identiteettivarkauden kannalta merkitystä, jos se ei esiinny sellaisessa yhteydessä, että se mahdollistaa tietyn henkilön tunnistamisen.

Samoin identiteettivarkaudesta ei ole kyse silloin, jos toisen henkilötietojen käyttäminen on niin vähäistä tai kyseessä on niin irrallinen asia, ettei erehtymisen vaaraa tosiasiassa ole. Näin voisi olla esimerkiksi tilanteessa, jossa on kyse selkeästi satiirista.

Identiteettivarkaus ei tule kyseeseen myöskään silloin, kun käytetään ns. pseudonyymiä eli salanimeä. Tällöin henkilö voi käyttää vaikkapa nimeä “Ville Virtanen”, joka ei ole hänen oikea nimensä, mutta hyvin todennäköisesti se on kuitenkin jonkun muun henkilön nimi. Identiteettivarkaudesta ei ole kuitenkaan kyse tässä tapauksessa, jos tarkoitus on esittää esimerkiksi tietty kommentti anonyymisti, eikä tekijällä ole varsinaista erehdyttämistarkoitusta.

Kun identiteettivarkaudessa puhutaan “toisen” henkilötiedoista, voidaan tällaisella toisella taholla tarkoittaa myös oikeushenkilöä eli esimerkiksi yritystä. Tämä määritelmä eroaa esimerkiksi henkilötietolain henkilötietojen määritelmästä, jossa henkilötiedot koskevat vain luonnollista henkilöä koskevia tietoja.

Onko uhka yrityksen tietojen käyttämisestä identiteettivarkauksiin todellinen?

Ajatellaanpa seuraavaa esimerkkiä, joka on todellinen.

Verohallinto on julkaissut 21.12.2016 uutisen, jonka mukaan identiteettivarkauksia käytetään arvonlisäveron palautusten huijaamiseen väärille tileille ja väärin perustein.

Mikä on näin saadun hyödyn arvo rahallisesti?

Vähintään rikollisin keinoin yritetyn hyödyn kokonaissumma ylittää 50 miljoonaa euroa!

Se on suhteellisen paljon rahaa.

Julkisuudessa on ollut esillä myös esimerkiksi yrityksen nimenkirjoitusoikeuksien päätyminen vieraille henkilöille tai jopa koko yhtiön hallituksen vaihtaminen identiteettivarkauden avulla. Tämän kaltaiset rikokset voivat johtaa esimerkiksi pikavippien ottamiseen yrityksen nimissä.

Pelkästään jo näiden muutamien esimerkkien avulla voidaan päätellä, että yrityksiin kohdistuva uhka on nykypäivänä todellinen, eikä identiteettivarkauksiin kannata suhtautua kevytmielisesti.

Viimeisenä edellytyksenä identiteettivarkaudelle on taloudellisen vahingon tai vähäistä suuremman haitan aiheuttaminen sille, jota tieto koskee.

Taloudellinen vahinko tai vähäistä suurempi haitta sille, jota tieto koskee

Taloudellinen vahinko voi ilmetä jo pelkästään niin, että henkilölle, jonka henkilötietoja on käytetty identiteettivarkauden tekemiseen, aiheutuu kuluja asian erilaisesta selvittämisestä ja tilanteen korjaamisesta.

Vähäistä suurempi haitta voi ilmetä myös tilanteessa, jossa on ilmennyt taloudellista vahinkoa, mutta se voi ilmetä myös itsenäisenä seuraamuksena. Vähäistä suuremmalla haitalla tarkoitetaan muun muassa asian selvittämisestä ja oikaisemisesta aiheutuvaa vaivannäköä, joka identiteettivarkauden kohteelle aiheutuu. Näin voisi olla esimerkiksi tilanteessa, jossa identiteettivarkauden kohteen nimissä on otettu erilaisia pikavippejä ja saatu aikaan aiheettomia laskuja.

Identiteettivarkautta koskevan rikoslain säännöksen säätämisen yhteydessä rangaistavaksi tuli myös ns. valeprofiilin luominen sosiaaliseen mediaan toisen henkilötiedoilla ja tuon profiilin aiheeton käyttäminen. Lain voimaan tultua poliisin tietoon tuli ensimmäisen kuukauden aikana jo 13 sosiaaliseen mediaan luotua valeprofiilia.

Vähäistä suurempaa haittaa identiteettivarkauden uhrille saattaa aiheutua valeprofiilin poistamisesta (joka voi olla erittäin vaikeaa) ja tietenkin siitä kommunikaatiosta, jota sosiaalisessa mediassa on saatettu harjoittaa jo ties kuinka moneen eri tahoon. Se, aiheutuuko identiteettivarkauden uhrille vähäistä suurempaa haittaa, arvioidaan kuitenkin joka tapauksessa erikseen.

Jos siis joku on syyllistynyt identiteettivarkauteen, milloin syyttäjä voi nostaa asiasta syytteen, jotta asiassa saataisiin oikeutta?

Identiteettivarkaus on asianomistajarikos

Monesti rikoksen selvittäminen alkaa siitä, että rikoksen asianomistaja tekee poliisille joko rikosilmoituksen, joka tunnetaan myös nimellä tutkintapyyntö. Rikosilmoituksen jälkeen poliisi alkaa esitutkinnassa selvittämään, onko rikosta tosiasiassa tapahtunut ja jos on, asia etenee syyttäjälle.

Koska identiteettivarkaus on asianomistajarikos, saa syyttäjä nostaa asiasta syytteen vain siinä tapauksessa, että asianomistaja ilmoittaa rikoksen syytteeseen pantavaksi. Jos identiteettivarkauden asianomistaja ei koe identiteettiään loukatun tai ei halua mistä tahansa muusta syystä asian käsittelemistä rikosoikeudenkäynnissä, eikä siis ilmoita rikosta syytteeseen pantavaksi, ei syyttäjä voi ryhtyä nostamaan syytettä vastoin asianomistajan tahtoa.

Asianomistajahan voi jopa kokea niin, että rikosoikeudenkäynti aiheuttaisi vielä enemmän haittaa hänelle kuin varsinainen identiteettivarkaus.

Tältä osin syyttäjän on siis kunnioitettava asianomistajan tahtoa.

Rangaistus identiteettivarkaudesta

Entäpä minkälainen rangaistus odottaa mahdollista identiteettivarkauden tekijää?

Rikoslaissa identiteettivarkaudesta seuraamukseksi on asetettu sakkorangaistus. Sakko tuomitaan päiväsakkoina, joiden vähimmäismäärä on yksi ja enimmäismäärä 120. Päiväsakon minimimäärä on 6 euroa.

Päiväsakko saadaan laskettua karkeasti sanottuna seuraavan kaavan avulla:

Keskimääräinen kuukausitulo, josta vähennetään verot ja maksut sekä peruskulutusvähennys (255 euroa) ja tämä jaetaan 60:llä.

paivasakko

Päiväsakon lopulliseen määrään siis vaikuttavat identiteettivarkauden tekijän tulot sekä vielä mahdollinen elatusvelvollisuus.

Jos sakkoa ei saada perittyä, on maksamatta jääneen sakon sijasta mahdollista määrätä ns. muuntorangaistuksena vankeutta. Tällöin kolmea maksamatonta päiväsakkoa vastaa yksi päivä vankeudessa. Muuntorangaistuksen pituus on kuitenkin vähintään neljä päivää vankeutta ja enintään 60 päivää.

Muuntorangaistusta ei saa kuitenkaan määrätä ilman erityistä syytä tapauksessa, jossa maksamatta olevia päiväsakkoja on vähemmän kuin 12.

Yhteenvetona voidaan todeta, että identiteettivarkauden uhka on todellinen niin yksityishenkilöille kuin yrityksillekin. Identiteettivarkaus on kuitenkin rikoslain mukaan rikos, josta voi seurata sakkorangaistus. Syytettä asiassa ei kuitenkaan voida nostaa vastoin asianomistajan tahtoa.

Jos tarvitset lisätietoa identiteettivarkauteen liittyen, ota yhteyttä.

Kirjoittaja on eLakitoimiston perustaja Niko Laukkonen, joka on valmistunut oikeustieteen maisteriksi Helsingin yliopistosta. Valmistumisensa jälkeen Niko on saanut luvan toimia myös kiinteistön- ja vuokrahuoneiston välittäjänä sekä luvan saaneena oikeudenkäyntiavustajana.

identiteettivarkaus