Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod hæftelse for misbrug af betalingskort. Spørgsmål om ubegrænset hæftelse som følge af videregivelse af SMS-engangskode efter at have klikket på et link i en mail, der fremstod som om, den kom fra Apple

Sagsnummer: 4 /2018
Dato: 18-10-2018
Ankenævn: Eva Hammerum, Michael Reved, Karin Sønderbæk, Troels Hauer Holmberg, Anna Marie Schou Ringive
Klageemne: Betalingstjenester - fjernsalgstransaktioner
Ledetekst: Indsigelse mod hæftelse for misbrug af betalingskort. Spørgsmål om ubegrænset hæftelse som følge af videregivelse af SMS-engangskode efter at have klikket på et link i en mail, der fremstod som om, den kom fra Apple
Indklagede: Sparekassen Kronjylland
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Klager medhold

Indledning

Sagen vedrører klagerens indsigelse mod hæftelse for tredjemands misbrug af hans betalingskort, herunder spørgsmål om ubegrænset hæftelse som følge af, at han videregav en SMS-engangskode efter at have klikket på et link i en mail, der fremstod som om, den kom fra Apple.

Sagens omstændigheder

Klageren er kunde i Sparekassen Kronjylland, hvor han har en konto med et tilknyttet Visa/Dankort.

Den 28. september 2017 blev der foretaget en transaktion med kortet på -1.573,14 EUR, svarende til -11.826,10 DKK. Beløbet blev hævet på klagerens konto den 2. oktober 2017.

Den 6. oktober 2017 underskrev klageren en tro- og loveerklæring til sparekassen, hvor han gjorde indsigelse mod transaktionen. Af erklæringen fremgik ved afkrydsning, at kortet havde været i klagerens besiddelse på transaktionstidspunktet.

Ved en e-mail af 20. oktober 2017 afviste sparekassen indsigelsen. Sparekassen anførte, at transaktionen var godkendt med en ekstra sikkerhedskode, idet der var anvendt såkaldt 3D-secure Fuld.

Den 27. oktober 2017 sendte klageren en klage over afgørelsen til sparekassens klageansvarlige. Klageren anførte blandt andet:

”…

Den nye historie er, at jeg, der har 50 % syn, er blevet overrumplet af en falsk mail, som har lokket mig til at aflevere tilstrækkelig med informationer til brug ved tyveri fra min dankortkonto den 28.09 - 2017. Sagsbehandler […] har telefonisk fortalt mig, at jeg i forbindelse med en handel på nettet den pågældende aften skulle have indtastet to engangskoder, hvoraf den ene så skulle have muliggjort tyveriet.

Straks jeg fandt min konto slanket betydeligt, fik jeg spærret kortet og sat i gang en kortindsigelsessag med god hjælp …

Sagen blev afgjort til ”forretningernes fordel” på baggrund af Regler for Visa/Dankort.

Jeg har forsøgt at opnå forståelse for min situation som den forurettede part, da jeg jo var i besiddelse af mit Dankort, da tyveriet blev begået, samt at jeg overhovedet ikke har været indblandet i transaktionen.

Jeg har meldt tyveriet til Østjyllands Politi.

…”

Ved brev af 20. november 2017 fastholdt sparekassen sin afgørelse af indsigelsessagen. Sparekassen anførte blandt andet:

”…

Sparekassen har lagt vægt på, at du selv har oplyst kortnummer, den 3-cifrede kode fra bagsiden af kortet samt SMS-kode til de personer, der henvendte sig til dig via mail, så købet kunne gennemføres. Ved oplysning af SMS-koden ud over kortoplysningerne, er der således udleveret den ekstra nøgle, der netop skal sikre dig mod, at andre foretager tranaktioner på dine vegne.

Der er ligeledes lagt vægt på, at du har erfaring med at handle på nettet.

Efter en samlet bedømmelse finder Sparekassen, at du selv hæfter for den foretagne transaktion. Det betyder således at Sparekassen ikke tilbagefører beløbet til dig

Afgørelsen er truffet på baggrund af de Regler for Visa/Dankort, som er gældende.

…”

Af sparekassens Regler for Visa/Dankort fremgik blandt andet:

”…

2. Særlige råd ved handel med Visa/Dankort på nettet

Pas på dit kortnummer

Opgiv aldrig dit kortnummer, med mindre du er i en decideret købssituation, hvor du ønsker at betale for noget. I andre situationer skal du aldrig, selvom du bliver opfordret til det, indtaste dit kortnummer. Hverken som ID, en del af ”medlemsoplysninger” eller for at komme videre til en anden side.

6 Sikre internetbetalinger

Dankort Secured by Nets og Verified by Visa er en ekstra beskyttelse mod misbrug af kortdata ved handel på internettet. Sikkerheden består i, at du ved køb på internettet - udover kortet - skal benytte en engangskode, som du modtager fra Nets via SMS i forbindelse med betalingen. Engangskoden skal kun anvendes ved køb i internetforretninger, der anvender Dankort Secured by Nets eller Verified by Visa.

11 Dit ansvar ved misbrug af dit Visa /Dankort

11.1 I tilfælde af, at dit Visa/Dankort har været misbrugt af en anden person vil pengeinstituttet dække tabet, medmindre tabet er omfattet af afsnit 11.2 – 11.6 nedenfor. Det er dit pengeinstitut, der skal bevise, at tabet er omfattet af afsnit 11.2 – 11.6.

11.6 Du hæfter endvidere for det fulde tab, hvis du har handlet svigagtigt eller med forsæt har undladt at opfylde dine forpligtelser i henhold til reglerne, herunder til at opbevare kortet eller mobiltelefonen, til at beskytte PIN-koden, jf. afsnit 4, eller til at spærre kortet, jf. afsnit 10.

…”

Sparekassen har fremlagt en udskrift, der viser, at der den 28. september 2017 blev sendt fem engangskoder til klagerens telefonnummer henholdsvis kl. 21.19.10, kl. 21.21.15, kl. 21.22.22, kl. 21.22.26 og kl. 21.26.19.

Sparekassen har endvidere fremlagt en udskrift fra sparekassens hjemmeside vedrørende advarsel mod fupbeskeder og mod videregivelse af personlige oplysninger.

Parternes påstande

Den 4. januar 2018 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Kronjylland skal dække hans tab på 11.826,10 kr.

Sparekassen Kronjylland har nedlagt påstand om principalt afvisning, subsidiært frifindelse, mere subsidiært frifindelse mod at sparekassen dækker den del af tabet, der overstiger 8.000 kr.

Parternes argumenter

Klageren har anført, at transaktionen skete uden hans direkte medvirken. Han fulgte en opfordring i en mail til at opdatere sin applekonto, og gav i den forbindelse oplysninger, som ifølge sparekassen blev brugt til transaktionen. Han fik kortet spærret straks han opdagede “tyveriet” og anmeldte sagen til politiet.

Sparekassen burde have advaret om risikoen.

Sparekassen Kronjylland har til støtte for afvisningspåstanden anført, at transaktionen er korrekt registreret og bogført.

Klageren oplyste under en telefonsamtale den 13. oktober 2017, at han ved indtastningen af sine kortoplysninger blev klar over, at der var noget galt og derfor stoppede indtastningen. I klagen af 27. oktober 2017 anførte klageren, at han overhovet ikke havde været indblandet i transaktionen.

Under samtalen den 13. oktober 2017 oplyste klageren, at han ikke modtog engangskoder. Ifølge Nets blev der omkring transaktionstidspunktet sendt fem engangskoder til klagerens telefon.

Endelig bevisførelse af de uoverensstemmelser, der er mellem parterne vedrørende indtastning af kortoplysninger samt fremsendelse og brug af engangskoder, vil kræve, at der afgives parts- og vidneforklaringer, ikke kan finde sted over for Ankenævnet. Sagen bør derfor afvises.

Til støtte for frifindelsespåstanden har sparekassen anført, at klageren ikke har truffet alle nødvendige foranstaltninger for at beskytte sit betalingskort.

Klageren har ikke anvendt kortet i overensstemmelse med Regler for Visa/Dankort.

Klageren afgav selv sine kortoplysninger, den trecifrede kontrolkode og den tilsendte engangskode, som var en ekstra sikkerhedsforanstaltning ved handel på internettet.

Klageren foretog ofte handler på internettet, og burde derfor have vidst, at der kun anvendes engangskoder i forbindelse med køb.

Klageren kunne se, at e-mailen var dårlig formuleret, og han burde derfor have indset, at den ikke var fra Apple. Det burde endvidere have vakt klagerens mistanke, at han inden for syv minutter modtog fem engangskoder.

Klageren bør i hvert fald hæfte for 8.000 kr. af misbruget.

Sparekassen advarer mod fupbeskeder og -mails på sparekassens hjemmeside og mobilbank.

Ankenævnets bemærkninger

Ankenævnet finder ikke, at sagen skal afvises.

Det lægges til grund, at betalingen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. den dagældende lov om betalingstjenester § 64, stk. 1.

Det lægges til grund, at transaktionen på -1.573,14 EUR, svarende til -11.826,10 DKK blev gennemført på baggrund af, at klageren fulgte en opfordring i en e-mail til at opdatere sin applekonto, og at klageren i den forbindelse videregav sine kortoplysninger og en SMS-kode, som han modtog fra Nets.

Tre medlemmer – Eva Hammerum, Troels Hauer Holmberg og Anna Marie Schou Ringive – udtaler:

Vi lægger til grund, at hævningen på 11.826,10 kr. på klagerens konto i Sparekassen Kronjylland skyldtes tredjemands misbrug/uberettigede anvendelse af klagerens Visa/Dankort.

Den omstændighed, at klageren har indtastet sine kortoplysninger, kan ikke i sig selv medføre, at han hæfter for misbruget.

Vi finder, at SMS-engangskoden ikke er en personlig sikkerhedsforanstaltning i tilknytning til kortet, som omtalt i den dagældende lov om betalingstjenester § 62, jf. Folketingstidende 2008-2009 tillæg A, side 3558, hvoraf det fremgår, at der f.eks. kan være tale om en pinkode, fingeraftryk eller aflæsning af øjets iris, og at en underskrift ikke betragtes som en personlig sikkerhedsforanstaltning.

Vi finder herefter, at den omtvistede hævning var en uautoriseret betaling, som klageren ikke hæfter for, jf. den dagældende lov om betalingstjenester § 61.

Vi stemmer derfor for, at klageren får medhold i klagen.

To medlemmer – Karin Sønderbæk og Michael Reved – udtaler:

Efter § 62, stk. 3, nr. 2 i den dagældende lov om betalingstjenester hæfter betaleren med op til 8.000 kr., når betaleren har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 6 – det vil sige uden at betaleren har oplyst den personlige sikkerhedsforanstaltning til misbrugeren under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.

I den konkrete sag indtastede klageren sine kortoplysninger og en 3D secure kode, som han modtog i en sms, i forbindelse med at han fulgte en opfordring i en mail til at opdatere sin applekonto. Vi lægger derfor til grund, at klageren har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse. 

På dette grundlag finder vi, at klageren hæfter for 8.000 kr., jf. § 62, stk. 3, nr. 2 i den dagældende lov om betalingstjenester.

Vi bemærker i denne forbindelse, at en SMS-engangskode må betragtes som en personlig sikkerhedsforanstaltning i tilknytning til kortet i lov om betalingstjenesters forstand (på samme måde som det er det efter lov om betalinger), når koden – som i 3D secure løsningen (Dankort Secured by Nets eller Verified by Visa) – er dannet som en ekstra personlig sikkerhedsforanstaltning ved brug af NemID, og hvor en betaling i en bestemt situation kræver brug af en sådan unik engangskode. Det fremgår i øvrigt af sparekassens Regler for Visa/Dankort, at en kortholder godkender (autoriserer) en betaling med kortet, når koden fra Nets bliver brugt ved køb på internettet.

Vi stemmer herefter for, at Sparekassen Kronjylland skal tilbageføre 3.826,10 kr. af den omtvistede hævning på 11.826,10 kr.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Sparekassen Kronjylland skal inden 30 dage til klageren betale 11.826,10 kr.

Klageren får klagegebyret tilbage.