Traficom-sääntö astui voimaan: tuntemattomien SMS-lähettäjien nimi vaihtuu "Tuntematon"-leimaksi
Pieni tekninen muutos puhelinten viestiruudussa katkaisee vuosien helpoimman huijaustempun. Lähettäjäkentän väärentäminen "Posti"- tai "Nordea"-nimeksi ei enää onnistu Suomen verkoissa, kun validoimaton tunnus korvataan sanalla "Tuntematon".
Tiivistelma
Traficomin uusi sääntö astui voimaan 4. toukokuuta 2026. Validoimattomien lähettäjien SMS-viestit näkyvät puhelimessa nimellä "Tuntematon". Sääntö iskee suoraan smishing-kampanjoiden ytimeen ja väärennettyihin lähettäjätunnuksiin.
Kymmenet tuhannet suomalaiset ovat saaneet vuosien varrella tekstiviestin, jossa lähettäjäksi on merkitty "Posti", "Nordea", "OP" tai "OmaVero". Iso osa niistä on ollut huijausta.
Lähettäjäkentän väärentäminen on ollut huijarin ammattikalustoon kuuluva perustyökalu. Niin halpa ja niin tehokas, että smishing-kampanjat ovat luottaneet siihen vuodesta toiseen.
Traficomin uusi sääntö muuttaa tämän asetelman 4. toukokuuta 2026 alkaen. Validoimattomien lähettäjätunnusten nimet korvataan suomalaisissa matkapuhelinverkoissa sanalla "Tuntematon". Kyberturvallisuuskeskus kertoo säännön voimaantulosta Huhtikuun Kybersää -tiedotteessa 13.5.2026.
Käytännön mekanismi on suoraviivainen. Jos lähettäjä haluaa viestinsä näkyvän vastaanottajan ruudussa esimerkiksi nimellä "Posti", nimen täytyy olla rekisteröity Traficomin hyväksymään lähettäjätunnusten rekisteriin. Rekisteröimättömät kirjaintunnukset eivät enää välity sellaisinaan, vaan operaattori vaihtaa ne "Tuntematon"-leimaksi ennen kuin viesti tulee puhelimen näytölle.
Miksi tämä on iso muutos huijareiden arjessa
SMS-lähettäjäkenttä eli Sender ID on ollut vuosikymmeniä järjestelmän heikko kohta. Aitojen yritysnimien jäljittely on ollut huijareille käytännössä ilmaista, ja kuluttaja on joutunut tunnistamaan huijauksen viestin sisällöstä eikä lähettäjästä. Pankit, Posti ja Verohallinto ovat toistaneet samaa neuvoa vuodesta toiseen: älä luota lähettäjänimeen.
Nyt neuvo kääntyy päinvastoin. Jos huijari yrittää lähettää "Posti"-nimisen tekstiviestin rekisteröimättä tunnusta, viesti saapuu nimellä "Tuntematon".
Aitoja lähettäjiä sääntö taas pakottaa rekisteröimään tunnuksensa Traficomin kautta. Pankit, viranomaiset ja logistiikkayritykset joutuvat hoitamaan paperityön kuntoon, tai niiden viestit putoavat samaan Tuntematon-koriin huijareiden kanssa.
Mitä tämä tekee huijauskampanjoiden taloudelle? Ne menettävät yhden halvimmista ja luotettavimmista käännytystyökaluistaan.
– Lähettäjätunnusten validointi on yksinkertainen tekninen muutos, mutta sen vaikutus kuluttajan luottamukseen on iso, Kyberturvallisuuskeskus toteaa Huhtikuun Kybersää -tiedotteessaan.
Siirtymäkausi tuo myös aitoja "Tuntematon"-viestejä
Kaikki lailliset toimijat eivät ehdi rekisteröidä tunnuksiaan heti. Käytännössä myös aitoja viestejä saattaa pudota "Tuntematon"-leimalle ainakin alkuvaiheessa. Lääkärikeskusten ajanvarausvahvistukset, urheiluseurojen viestit ja pienempien palveluiden ilmoitukset kulkevat usein ilman varsinaista rekisteröityä tunnusta.
Sääntö ei myöskään poista numerolähetyksiä. Tavallisesta puhelinnumerosta tuleva huijaus näyttää edelleen ihan tavalliselta tekstiviestiltä, eikä "Tuntematon"-leima koske sitä. Numerospoofing on oma ongelmansa, joka vaatii erillisiä toimia.
Kuluttajan arjessa muutos on hienovarainen mutta käyttökelpoinen. Lähettäjäkentästä tuli ensimmäistä kertaa varteenotettava vihje, ei pelkkä koriste.
Aiemmin nimi saattoi olla mitä tahansa. Nyt rekisteröimätön nimi on lähtökohtaisesti pois pelistä, paitsi niissä tapauksissa, joissa aito lähettäjä on vielä jäänyt rekisteröitymättä.
Jää nähtäväksi, kuinka nopeasti suomalaiset oppivat tulkitsemaan "Tuntematon"-leiman varoitusmerkiksi. Sääntö antaa selkeän signaalin, mutta vain jos vastaanottaja huomaa sen.
Mitä tehdä
- Älä avaa linkkejä "Tuntematon"-nimellä saapuvista viesteistä. Siirtymäkaudella mukana on myös aitoja viestejä, mutta linkin painaminen on aina riski.
- Muista perussääntö: pankit, viranomaiset ja Posti eivät pyydä toimintaa SMS-linkin kautta. Tämä pätee myös silloin, kun lähettäjänimi näyttää oikealta.
- Älä syötä pankkitunnuksia tai vahvistuskoodeja sivulle, joka avautui tekstiviestin linkistä.
- Ilmoita huijausviestit osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Ilmoitukset auttavat suuntaamaan torjuntaa.
Sääntö ei poista smishingiä, mutta nostaa sen rimaa. Huijarit joutuvat keksimään uusia keinoja: väärennettyjä numeroita, RCS-kanavia ja viestisovelluksia.
Se ostaa kuluttajalle aikaa ja näkyvyyttä. Pienen ruutuelementin muutos voi olla yllättävän iso siivous.