Tekstiviestihuijausten torjunta tehostuu maanantaina — mitä muuttuu ja mitä ei
Traficomin lähettäjätunnusrekisteri käynnistyy 4. toukokuuta. Huijausviestien lähettäminen pankkien ja viranomaisten nimissä vaikeutuu, mutta aukottomaksi järjestelmä ei muutu.
Tiivistelma
Traficomin lähettäjätunnusrekisteri astuu voimaan maanantaina 4.5.2026. Rekisteröimättömät tunnukset näytetään jatkossa nimellä 'Tuntematon'. Järjestelmässä on kuitenkin porsaanreikiä, joita huijarit jo hyödyntävät.
Kaksi päivää. Sen jälkeen puhelimeesi saapuvat tekstiviestit näyttävät erilaisilta.
Traficomin lähettäjätunnusrekisteri käynnistyy maanantaina 4. toukokuuta. Rekisteröimättömät lähettäjätunnukset näkyvät jatkossa puhelimessa nimellä "Tuntematon". Muutos koskee sekä puhelinnumeroita että nimitunnuksia kuten "Nordea" tai "Posti".
Mutta mitä tavallinen puhelimen käyttäjä oikeasti huomaa?
Maanantaista eteenpäin
Näkyvin muutos on yksinkertainen. Jos organisaatio ei ole rekisteröinyt lähettäjätunnustaan, sen viestit merkitään tuntemattomiksi.
Aito pankkiviesti näkyy edelleen pankin nimellä. Huijausviesti, joka yrittää esiintyä pankkina, ei enää pysty siihen ilman rekisteröityä tunnusta.
Operaattorit estävät myös kansainväliset viestit, jotka väärentävät suomalaisia puhelinnumeroita. Tämän pitäisi katkaista ulkomailta tulevat huijaukset, joissa lähettäjänä näkyy suomalainen numero.
– Suomalaisia puhelinnumeroita ja tekstiviestien lähettäjätunnuksia ei voi enää väärentää, toteaa Klaus Nieminen, Traficomin johtava asiantuntija.
Marraskuussa 2026 alkaa toinen vaihe. Silloin rekisteröimättömät tunnukset estetään kokonaan tai merkitään "Roskaposti"-tunnisteella.
Neljä aukkoa, jotka jäävät
Parannuksesta huolimatta järjestelmä ei ole aukoton. Traficom itsekin myöntää sen.
Ulkomaiset numerot. Rekisteri suojaa suomalaisia lähettäjätunnuksia, mutta ulkomaisista numeroista lähetettyjä viestejä se ei kata. Traficom toteaa, että huijarit voivat yhä useammin käyttää ulkomaisia puhelinnumeroita. Kroatialainen suuntanumero +385 muistuttaa Suomen +358-numeroa, ja nopealla vilkaisulla ero jää helposti huomaamatta.
Lookalike-tunnukset. Suomen Telemarkkinointiliitto kertoo, että huijarit kiertävät suojauksen käyttämällä lähes identtisiä tunnuksia. Esimerkiksi "MobiIePay" näyttää aidolta, mutta iso I-kirjain korvaa pienen L-kirjaimen. Puhelin ei tunnista eroa.
Lookalike-tunnus (lähettäjätunnuksen jäljittely)
Huijarit rekisteröivät lähettäjätunnuksen, joka näyttää silmämääräisesti samalta kuin aito tunnus. Keinoina käytetään kirjainten korvaamista (I vs. l, 0 vs. O) tai ylimääräisiä merkkejä. Tunnukset ovat teknisesti eri tunnuksia, joten rekisteri ei estä niitä.
Suojaamattomia tunnuksia riittää. Rekisteröinti on pakollista, mutta yksinoikeussuojaus on vapaaehtoista ja maksaa 200 euroa vuodessa per tunnus. Alkuvuodesta 2026 vasta yli 70 tunnusta oli suojattu. Suojaamattoman tunnuksen voi rekisteröidä kuka tahansa.
Kolmen kuukauden viive. Uuden tunnuksen yksinoikeussuojaus aktivoituu vasta kolme kuukautta rekisteröinnin jälkeen. Tuona aikana tunnus on haavoittuvainen. Jos huijari ehtii rekisteröidä lookalike-tunnuksen ennen oikeaa organisaatiota, suojaus ei auta kolmeen kuukauteen.
Mitä tämä ei muuta
Tekstiviestihuijaukset ovat vain yksi kanava. WhatsApp-viestit, sähköpostit ja puhelinsoitot jatkuvat ennallaan. Huijarit siirtyvät sinne, missä suojaus on heikointa. Kyberturvallisuuskeskus on varoittanut, että viime viikkoina kalasteluviestejä on levinnyt varsinkin sähköpostitse hyvinvointialueiden ja OmaKannan nimissä.
Myöskään viestin sisältöä rekisteri ei arvioi. Rekisteröidyllä tunnuksella lähetetty viesti voi silti sisältää huijauslinkin. Tunnus kertoo vain sen, kuka viestin lähetti – ei sitä, onko viesti luotettava.
Onko rekisteri sitten turha? Ei. Se poistaa helpoimman ja yleisimmän huijausmenetelmän: suomalaisten lähettäjätunnusten suoran väärentämisen. Mutta se ei ole hopealuoti, ja sen rajoitukset kannattaa tuntea.
Mitä tehdä maanantain jälkeen
Suhtaudu "Tuntematon"-tunnisteella saapuviin viesteihin varauksella. Toukokuun alussa osa aidoistakin organisaatioviesteistä saattaa näkyä tuntemattomina, jos lähettäjä ei ole ehtinyt rekisteröityä. Tilanne tasaantuu syksyä kohti.
Älä luota pelkkään lähettäjätunnukseen. Vaikka tunnus näyttäisi oikealta, älä koskaan kirjaudu palveluun tekstiviestissä olevan linkin kautta. Mene suoraan pankin tai palvelun omaan sovellukseen.
Tarkista ulkomaiset suuntanumerot. Jos viesti tulee +385-numerosta ja väittää olevansa suomalainen palvelu, kyseessä on melko varmasti huijaus.
Ilmoita epäilyttävistä viesteistä Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Jos olet jo klikannut linkkiä tai syöttänyt tietojasi, ota heti yhteyttä pankkiisi ja tee rikosilmoitus osoitteessa poliisi.fi.
Rikosuhripäivystys auttaa numerossa 116 006.
Traficomin oma arvio tiivistää tilanteen hyvin: kuluttajien valppaus on silti tarpeen. Rekisteri nostaa rimaa, mutta ainakaan vielä se ei poista sitä. Jää nähtäväksi, kuinka nopeasti huijarit sopeutuvat uusiin sääntöihin.