Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for korttransaktion. Phishing.

Sagsnummer: 108 /2022
Dato: 22-12-2022
Ankenævn: Bo Østergaard, Jimmy Bak, Karin Duerlund, Tina Thygesen, Lisbeth Baastrup Burgaard.
Klageemne: Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst: Indsigelse mod at hæfte for korttransaktion. Phishing.
Indklagede: Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for korttransaktion. Phishing.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor han havde en konto med et tilknyttet Visa/dankort.

Den 9. februar 2022 blev klagerens betalingskort anvendt til betaling til en betalingsmodtager, F, af et beløb på 1.213,90 EUR, som klageren ikke kan vedkende sig.

I sagen er fremlagt en mail sendt til klagerens ægtefælle, H, den 9. februar 2022, der fremstod som værende fra et domænefirma. Mailen havde følgende tekst:

[angivelse af H’s domænenavn]

Du risikerer at miste dette domæneKære

 

Kære hr./frue

Dit domænenavn blev udløbet for 3 dage siden og ikke fornyet. Vi bemærkede en afvisning af din konto, da vi forsøgte at opkræve omkostningerne ved den endelige fornyelse af dine tjenester.

Domæne: [angivelse af H’s domænenavn]

HURTIG FORNYELSE

Hvad sker der, hvis jeg ikke fornyer ?

Hvis dit domænenavn ikke fornyes før udløbsdatoen, deaktivieres det, og alle tilsluttede websteder eller e-mails fungerer ikke længere. Herefter slettes dit domæne i henhold til registreringsdatabasens politikker og vil være tilgængeligt for alle, så alle kan registrere sig som deres eget.

Hvordan fornyes ?

Forny nemt dit domæne ved at klikke på ’HURTIG FORNYELSE’ knappen ovenfor. …

…”

Klageren har oplyst, at H sendte mailen videre til ham, for at han kunne sørge for betaling. Han kunne ikke huske, hvornår domænenavnet sidst var fornyet og besluttede at betale for fornyelsen. Han klikkede på ”Hurtig fornyelse”. På næste side stod der ordrebekræftelse, og beløbet for domæneadministration og domæneregistrering i 12 måneder var angivet til i alt 75 kr. Han blev herefter præsenteret for en betaling på 75 kr., som han, efter indtastning af kortnummer, udløbsdato og kontrolcifre, godkendte med NemID.

Banken har oplyst, at betalingen med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp. Det fremgår af en udskrift fra bankens systemer, at følgende tekst blev sendt til klagerens NemID-nøgleapp:

”Betal 1213,90 EUR til [F] fra kort xx4114”

Banken har endvidere oplyst, at transaktionen var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Få minutter efter at transaktionen var gennemført, modtog klageren en SMS fra banken, hvoraf fremgik, at hans betalingskort var brugt i EUR.

Klageren har oplyst, at han umiddelbart herefter ringede til bankens kortspærring og spurgte til hvilken transaktion, der var tale om. Banken oplyste, at der var en transaktion i gang med en betaling på 1.213,90 EUR. Han bad banken stoppe transaktionen, men fik oplyst, at det kunne den ikke, men at han kunne gøre indsigelse, såfremt beløbet blev hævet på hans konto. Han bad samtidig banken spærre hans kort.

Den 11. februar 2022 blev der hævet 9.172,93 kr. svarende til 1.213,90 EUR på klagerens konto.

Samme dag gjorde klageren over for banken indsigelse mod betalingen. Han anførte følgende i forbindelse med indsigelsen:

”Blev anmodet om pr. mail om fornyelse af domæne på [domænefirma] og fornyelsesbeløbet var 75,- kr. som blev godkendt. Efterfølgende er beløbet ændret til euro 1.213,90 som er trukket på min konto med 9.172,93 kr. Visa/DK er spærret i Danske bank umiddelbart efter transaktionen, da Danske bank kontakter mig pr. sms og informerer om hævning i Euro.”

Den 12. februar 2022 anmeldte klageren sagen til politiet.

Banken godtgjorde klagerens tab fratrukket 8.000 kr. svarende til 1.172,93 kr.

Parternes påstande

Den 21. marts 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal godtgøre ham hele transaktionen og dermed tilbageføre 8.000 kr. til ham.

Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at han ikke bør hæfte for transaktionen, idet han alene godkendte en betaling på 75 kr.

Han bestrider, at han har set information om et beløb på 1.213,90 EUR, som påstået af banken. Han er udelukkende blevet præsenteret for en tekst med oplysning om betaling i danske kroner. Hvis han havde fået information om et beløb i EUR, ville han straks have opdaget, at der var noget galt. Han ville heller ikke være blevet overrasket over en SMS fra banken om en transaktion i EUR, hvis han selv lige havde godkendt den.

Han kontaktede banken inden for fem minutter efter, at han havde godkendt betaling af 75 kr. med NemID. Det er muligt, at banken lovmæssigt ikke kunne tilbageføre transaktionen, men den burde kunne sætte transaktionen på "hold", indtil de mistænkelige forhold var blevet undersøgt og verificeret.

Han har ikke handlet culpøst, idet han hele tiden har været i god tro. Som det fremgår af hændelsesforløbet, har han kun set oplysninger om et mindre beløb på 75 kr. Så vidt han ved, benytter de kriminelle personer i dag blandt andet diverse "overlays", som skjuler den korrekte transaktion og beløb med en falsk oplysning om et forkert beløb - i dette tilfælde 75 kr. og ikke det faktiske beløb på 1.213,90 EUR.

Han opfatter den delvise refusion af 1.172,93 kr. fra banken som en accept af, at der var noget galt med betalingstransaktionen.

Til sin store overraskelse modtag han den 14. maj 2022 i en anden sammenhæng en SMS fra banken, hvori den oplyste, at hans Visa/dankort var blevet spærret, fordi den havde standset en mistænkelig transaktion. Han fik efterfølgende oplyst af banken, at den havde afvist en betaling på ca. 500 kr. Han synes, at det er OK, at banken kan stoppe en betaling, som den finder mistænkelig.

Til gengæld finder han det uacceptabelt, at banken ikke kunne standse/afvise en betaling, hvor han umiddelbart efter transaktionens start meddelte, at der var et tyveri i gang fra hans konto. Et tyveri, hvor beløbet først fremgik af kontoen to dage efter, at han havde gjort telefonisk indsigelse. På den baggrund finder han, at han har udvist den størst mulige grad af ansvarlighed, men at det samme ikke er tilfældet fra bankens side.

Danske Bank har til støtte for frifindelsespåstanden anført, at klageren den 9. februar 2022 gennemførte en betalingstransaktion på 9.172,93 kr. (1.213,90 EUR) ved brug af sit Visa/dankort.

Betalingen blev godkendt ved brug af stærk kundeautentifikation jf. betalingslovens § 7, nr. 30, da han godkendte betalingstransaktionen med NemID, jf. betalingslovens § 7, nr. 31.

Den omtvistede betaling var korrekt gennemført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.

Banken er forpligtet til at gennemføre en transaktion, såfremt den er autoriseret af kunden, og banken havde derfor ikke mulighed for at standse betalingstransaktionen efter klagerens godkendelse af betalingen.

I den episode i maj 2022, som klageren beskriver, var der konkret tale om en midlertidig spærring af klagerens betalingskort, som blev udløst via Nets, fordi klageren forsøgte at gennemføre en atypisk transaktion via Facebook. Spærringen skete således, inden transaktionen blev gennemført.

Det følger af betalingslovens § 82, stk. 1, at en autoriseret betalingstransaktion er kendetegnet ved, at betaleren har godkendt og givet samtykke til gennemførelse af transaktionen.

Klageren blev i forbindelse med initiering af betalingstransaktionen forud for godkendelsen præsenteret for en tekst, hvor den registrerede betalingsmodtager samt det omtvistede beløb fremgik.

Klageren kan ud fra sagens konkrete omstændigheder have været udsat for phishing, hvorfor klageren derfor kun bør hæfte for 8.000 kr. i overensstemmelse med betalingslovens § 100, stk. 4, og punkt 11 i bankens Regler for Visa/dankort.

Til støtte for afvisningspåstanden har banken anført, at en afklaring af sagens hændelsesforløb vil kræve yderligere bevisførelse i form af parts- og/eller vidneforklaringer og/eller sagkyndig bevisførelse, hvorfor Ankenævnet derfor bør afvise sagen med henvisning til vedtægternes § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren har gjort indsigelse mod en transaktion på 1.213,90 EUR.

Om baggrunden for transaktionen har klageren oplyst, at hans ægtefælle, H, den 9. februar 2022 modtog en mail, der fremstod som om, at den kom fra et domænefirme, hvoraf fremgik, at H’s domænenavn var udløbet og skulle fornyes. H sendte mailen videre til ham, for at han kunne sørge for betaling. Han klikkede på ”Hurtig fornyelse”. På næste side stod der ordrebekræftelse, og beløbet for domæneadministration og domæneregistrering i 12 måneder var angivet til i alt 75 kr. Han blev herefter præsenteret for en betaling på 75 kr., som han, efter indtastning af kortnummer, udløbsdato og kontrolcifre, godkendte med NemID.

Banken har oplyst, at den omtvistede betaling med klagerens betalingskort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i klagerens NemID-nøgleapp. Af et udskrift fra bankens systemer fremgår, at følgende tekst blev sendt til klagerens NemID-nøgleapp: ”Betal 1213,90 EUR til [F] fra kort xx4114”.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Klageren har anført, at han ikke godkendte betalingen af 1.213,90 EUR til F.

Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.

Ankenævnet finder endvidere, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.

Efter lov om betalinger § 100, stk. 4, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Bo Østergaard, Jimmy Bak, Karin Duerlund – udtaler:

Vi lægger til grund, at klageren må have godkendt betalingen på 1.213,90 EUR i sin NemID-nøgleapp.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i NemID-nøgleappen, hvor han fik oplysninger om beløbet på 1.213,90 EUR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Tina Thygesen og Lisbeth Baastrup Burgaard – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen. 

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, hvor forbrugeren oplever, at beløbet ændrer sig efter, at transaktionen er godkendt, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, hvor beløbet først ændres efter, at transaktionen er godkendt.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr. af tabet på 9.172,93 kr., jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, banken skal tilbageføre 7.625 kr. til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.