Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod ikke vedkendte korttransaktioner. Spørgsmål om indsigelse blev fremsat for sent.

Sagsnummer: 172 /2022
Dato: 21-03-2023
Ankenævn: Bo Østergaard, Morten Winther Christensen, Jimmy Bak, Morten Bruun Pedersen og Elizabeth Bonde.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Ledetekst: Indsigelse mod ikke vedkendte korttransaktioner. Spørgsmål om indsigelse blev fremsat for sent.
Indklagede: Jyske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Klager medhold.

Indledning

Sagen vedrører indsigelse mod ikke vedkendte korttransaktioner. Spørgsmål om indsigelse blev fremsat for sent.

Sagens omstændigheder

Klageren var kunde i Jyske Bank, hvor han havde et Visa/dankort.

Den 27. april 2021 blev der med klagerens kort gennemført to transaktioner på 80,65 EUR (608,87 DKK) og 9,89 EUR (74,66 DKK). Transaktionerne blev bogført den 29. april 2021. Betalingsmodtageren var en internethandelsvirksomhed, F

Banken har oplyst, at transaktionerne blev godkendt med kortnummer, udløbsdato og CVC-kode, samt at transaktionerne ikke blev godkendt med stærk kundeautentifikation.

Ved e-mail af 29. april 2021 til bankens kundesupport skrev klageren vedrørende de to kortbetalinger. Af e-mailen fremgik:

”Jeg har netop været inde og tjekke min konto, jeg kan se to overførsler til [F] er sket i dag, den ene er FORBUDT af mig, den anden har jeg aldrig forsøgt at udføre!

Jeg har forsøgt at gennemføre en (1) betaling til [F] i dag, men da nemid krævede en betaling på 106,59 euro for det jeg havde accepteret hos [F] til 11,54 euro, UNDLOD jeg at indtaste sms koden, og min egen kode, og for en sikkerheds skyld klikkede jeg på afvis.

Vi har altså igenigenigen en situation hvor nemid/jyske bank godkender en transaktion UDEN nødvenig sikkerhedskontrol.

Jeg forventer beløbet føres tilbage uden udgifter for mig, og imødeser en forklaring på hvad i agter at gøre ved det åbenlyse sikkerhedsbrud.

Enhver kan jo hæve penge på min konto, uden kenskab til nemid, man kan jo bare klikke afvis, så betaler systemet! …”

Ved e-mail af 10. maj 2021 til klageren svarede bankens rådgiver (herefter rådgiveren):

”Jeg hjælper vores kundesupport med din henvendelse.

[F] har taget en beslutning om at alle beløb under kr. 1.700 kører de igennem uden 3D secure/nemid.

De får lov til dette da de selv har valgt at dække de tab der kan komme, hvis det ikke er brugeren selv.

Så Nets og Jyske Bank har ikke noget med dette at gøre.

Så du skal tage den med [F], og hvis du er meget utryg skal du stoppe med at handle hos dem, for de kommer ikke til at ændre dette.

Hvis du mener der trækkes beløb som du ikke har godkendt, skal du spærre dit kort og lave en indsigelse via vores hjemmeside.

Jeg håber dette var svar på dit spørgsmål.”

Ved e-mail til rådgiveren samme dag svarede klageren:

”Tak for et klart og tydeligt svar.

Venligst oplys hvilken lovhjemmel en sådan facilitet baserer sig på.”

Samme dag svarede rådgiveren, at han ikke kunne oplyse klageren herom, og at han skulle tage det med F.

Klageren har oplyst, at han flere gange rettede henvendelse til F vedrørende sagen, der ikke besvarede hans henvendelser, men som stoppede med at sende ham reklamer. Klageren har endvidere oplyst, at han anmeldte forholdet til politiet.

Under sagen har banken fremlagt Forbrugerombudsmandens ”Notat om indsigelsesfristen for uautoriserede og fejlbehæftede betalingstransaktioner i betalingslovens § 97” af november 2014, opdateret pr. 1. januar 2018. Af notatet fremgår:

3.3 Snarest muligt

I relation til indsigelsesfristen i betalingslovens § 97 er det Forbrugerombudsmandens opfattelse, at indsigelser fremsat indtil 14 dage efter konstateringen af den uautoriserede transaktion under alle omstændigheder vil opfylde kriteriet snarest muligt.”

Klageren har fremlagt ”Regler for Jyske Banks eBanking – privat” af 11. juni 2016 hvoraf fremgår:

Disponering over dit engagement

Du kan for eksempel også komme ud for, at du skal godkende visse overførsler eller betalinger en ekstra gang. Dette kan ske ved henvendelse fra banken eller ved at du modtager en sms-kode. Hvis du modtager en sms-kode, skal denne indtastes i den enkelte eBankingfunktionalitet for at gennemføre transaktionen. …

Gennemførsel af betalinger

I Jyske Banks eBanking er en betalingsordre modtaget, når du får en bekræftelse på det i den enkelte eBanking funktionalitet. …

Ansvar for private konti

Snarest muligt efter, at du er blevet opmærksom på den uberettigede brug, skal du sende din indsigelse om den uberettigede brug eller din mistanke herom til Jyske Bank. …

Jyske Bank vurderer din indsigelse, og i mellemtiden indsætter vi normalt beløbet, som indsigelsen vedrører, midlertidigt på din konto. Er der ikke tale om en andens uberettigede brug af Jyske Banks eBanking, hæver vi beløbet igen på din konto.”

Parternes påstande

Den 6. maj 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal tilbagebetale 683,53 kr.

Jyske Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har blandt andet anført, at banken skal tilbageføre beløbene til hans konto.

Han forsøgte at købe ind på F. Da betalingsdelen kom op, krævede F cirka 100 euro mere end oplyst, hvorefter han afviste. Alligevel kom der en SMS-kode, som han ikke tastede ind.

Banken anfører, at han skulle have godkendt et beløb på 80,65 euro. Det er forkert. Han har ikke godkendt noget som helst. Han har derimod direkte forbudt det. Han har endvidere gjort sit yderste for at forhindre, at det kunne finde sted.

Dagen efter opdagede han, at beløbet var hævet på hans konto. Han har ikke bestilt og ikke modtaget nogen vare fra F i den anledning.

F bekræftede aldrig den påståede handel, ligesom F ikke har været til at få kontakt til siden. Det er helt ude i skoven at tale om handel eller køb i den sammenhæng. Der er tale om tyveri, og tyven gemmer sig.

Ifølge bankaftalen ”Regler for Jyske Banks eBanking – privat” (herefter bankaftalen), er det ham, der skal reagere, hvorefter banken uden forbehold er forpligtet til at tilbageføre beløbet. Banken har ikke som anført i bankaftalen ført beløbet tilbage, da han oplyste, at det ikke var godkendte transaktioner.

Han oplyste banken om, at han overgav sagen til politiet. Banken var således fuldt ud klar over, at sagen ikke var afsluttet, men fortsatte ved politiet. På trods af dette påstår banken nu forældelse, fordi den påstår, at den ikke gemmer data. Det er bankens eget problem, idet den er bekendt med politisagen er i gang og derfor burde sikre sig, at data bliver gemt, indtil sagen finder sin afslutning.

Der blev fremsat en indsigelse til banken inden for få timer efter tyveriet fandt sted. Han skrev bl.a. til banken: ”Jeg forventer beløbet føres tilbage uden udgifter for mig.” Forældelse er derfor udelukket. Selv tidsfristen på 13 måneder er overholdt.

Banken henviste ham til F samt til det umulige: ”Hvis du mener der trækkes beløb som du ikke har godkendt, skal du spærre dit kort og lave en indsigelse via vores hjemmeside.” At spærre sit eneste betalingskort i et højdigitaliseret samfund er som at forbyde ham at trække vejret og er forhåbentligt forbudt. Spærring af et betalingskort er i denne sammenhæng en urimelig foranstaltning. At henvise ham til F ville svare til, at politiet forlanger, at man selv skal fange tyven og afregne. På den baggrund var han nødt til at betragte bankens svar som helt ude i skoven og indgav politianmeldelse.

Banken anfører, at efter han havde gjort indsigelse, blev han opfordret til at gøre indsigelse. At banken kræver et større bureaukrati ændrer ikke ved, at den straks fik besked. At sylte den salgs i bureaukratiske processer er bankens egen fejl.

Banken kunne have håndteret klagen, da den modtog den, eller have henvist ham til Ankenævnet, men det gjorde banken ikke. Banken har erkendt, at den ikke henviste ham til Ankenævnet, hvilket ham bekendt er en overtrædelse af forbrugerklagelovens § 4, stk. 1 og 2.

Han har haft tillid til to-faktorgodkendelse til at afvise en betaling. Banken har oplyst, at den har en hemmelig aftale med F om at ”kortslutte” sikkerhedssystemet, herunder to-faktorsystemet, uden at oplyse nogen kunder om aftalen.

Det er ubestridt, at han benyttede to-faktorsystemet, og det er ubestridt, at han i begge trin afviste betaling, der alligevel fandt sted. Det har ikke noget med kontokort eller aftaler at gøre, det hænger sammen med vildledende markedsføring af systemerne, og uansvarlig brug af teknikken. Det er sagen uvedkommende, hvilke tekniske standarder der hærger. Det drejer sig om, at banken uberettiget gav tilladelse til at hæve penge på hans konto.

Hvis den reelle situation er, at enhver med et kreditkortnummer kan hæve på et kreditkort, må han konstatere, at den højtbesungne to-faktoridentifikation er ren fup, og kunderne bliver vildledt til at tro, der er bare en smule sikkerhed i de systemer, de trues til at bruge, uanset om de vil eller ej.

Banken gennemførte en transaktion, efter banken havde fremsendt en SMS-kode, som ikke blev indtastet, hvorfor banken, ifølge sine egne krav, ikke vil gennemføre betalingen. Det gjorde banken alligevel i åbenlys strid med bankaftalen.

Bankens bemærkninger til sagen skal afvises som uværdige. Hvis banken vil sige noget til dens forsvar, skal den skrive det på en almindelig måde, som en forbruger kan forstå.

Han har fremlagt en bankaftale, der viser, han har overholdt aftalen, ligesom det er dokumenteret, at banken ikke har overholdt den. Banken anfører, at der findes en anden aftale, som han skulle have indgået. Såfremt der eksisterer en sådan aftale, er den ugyldig.

Jyske Bank har blandt andet anført, at da oplysninger om autentifikationsmetode – det vil sige, om en betaling er godkendt med stærk kundeautentifikation – slettes i Nets’ systemer efter 13 måneder, har banken på nuværende tidspunkt ikke længere mulighed for at fremfinde nærmere oplysninger i forhold til autentifikationsmetode for betalingerne, for eksempel om betalingerne falder uden for anvendelsesområdet for betalingsloven og dermed stærk kundeautentifikation, eller om der har været anvendt en af de lovbestemte undtagelser til stærk kundeautentifikation.

Ifølge betalingslovens § 128, stk. 1, skal en udbyder af betalingstjenester anvende stærk kundeautentifikation, medmindre andet følger af forordninger og regler udstedt af Kommissionen i medfør af artikel 98 i Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, blandt andet når en bruger iværksætter en elektronisk betalingstransaktion. I henhold til direktivets artikel 98 er forordningen (EU) 2018/389 af 27. november 2017) (herefter RTS) udstedt. RTS’en regulerer, i hvilke situationer en betalingstjenesteudbyder har mulighed for at undlade at anvende stærk kundeautentifikation.

Det fremgår af artikel 18 i RTS’en, at betalingstjenesteudbydere har mulighed for at undlade at anvende stærk kundeautentifikation, hvis betaleren initierer en elektronisk fjernbetalingstransaktion, som betalingstjenesteudbyderen anser for at indebære en lav risiko i henhold til de transaktionsovervågningsmekanismer, der er omhandlet i RTS’en. Ifølge RTS’ens artikel 18 har forretningen/indløseren mulighed for at markere kortbetalinger, der skal undtages stærk kundeautentifikation, ud fra en risikovurdering af transaktionen. Såfremt forretningen/indløser sætter markeringen, påtager den sig risikoen for betalingen over for kunden.

Banken lægger til grund, særligt ud fra rådgiverens redegørelse til klageren, at de i sagen omhandlede betalinger var undtaget fra stærk kundeautentifikation, jf. RTS’ens artikel 18.

Det er ikke banken, der bestemmer, om forretningen/indløser vælger at sende en betaling til autentifikation (to-faktorgodkendelse), eller om den sætter en undtagelsesmarkering på betalingen. Banken bestemmer heller ikke, hvilken rækkefølge forretningen/indløseren vælger at bruge af de to muligheder (undtagelse eller autentifikation). Banken forholder sig kun til den pågældende betaling, og om den opfylder RTS’ens krav i forhold til kundegodkendelse. 

Banken lægger til grund, at baggrunden, for at betalingerne ikke blev gennemført med stærk kundeautentifikation, er, at den har været berettiget til at anvende undtagelsen i RTS’ens artikel 18. Banken har derfor været berettiget til at undlade at anvende stærk kundeautentifikation i forbindelse med godkendelsen af de i sagen omhandlede betalinger. Banken har ikke begået fejl eller forsømmelser i sagen for så vidt angår stærk kundeautentifikation.

Vedrørende betalingen på 608,87 DKK oplyste klageren, at han i forbindelse med køb af en vare godkendte betalingen med et mindre beløb, end der blev trukket med hans betalingskort. Betalingen er dermed omfattet af betalingslovens § 112.

Forud for en indsigelse skal betaleren forgæves have kontaktet betalingsmodtageren med krav om tilbagebetaling af udestående beløb eller levering af manglende vare eller tjenesteydelse. Indsigelser skal fremsættes snarest muligt efter at betaleren er blevet bekendt med eller burde være blevet bekendt med betalingen den 29. april 2021.

Den 10. maj 2021 opfordrede banken klageren til at spærre sit kort og gøre indsigelse via bankens hjemmeside, hvis han mente, at der var trukket beløb, han ikke havde godkendt. Klageren undlod at gøre indsigelse til banken og indgav først en klage til Ankenævnet den 11. maj 2022, dvs. cirka 12 en halv måned efter, han blev bekendt med betalingen. Klageren fremsatte således ikke indsigelse snarest muligt.

Klageren modtog allerede den 10. maj 2021 fyldestgørende information og forklaring om betalingerne – og en opfordring til at gøre indsigelse mod betalingerne – hvis klageren ønskede at gøre indsigelse. Det er klagerens egen risiko, at han ventede mere end 12 måneder med at gøre indsigelse mod betalingerne, og dermed gjorde indsigelse for sent.

Hvis klageren herefter var usikker på, hvordan han skulle indgive en indsigelse til banken, burde han havde kontaktet rådgiveren. Banken opfattede ikke klagerens første henvendelse som en egentlig klage, men derimod som en anmodning om oplysninger om baggrunden for betalingernes gennemførsel. Reglerne for godtgørelse af indsigelser med betalingskort gælder først, når banken har modtaget en indsigelse med krav om tilbageførsel af beløb. Det er uoplyst, hvorvidt klageren kontaktede F med krav om tilbageførsel af betalingen.

Klageren fremsatte sin indsigelse for sent og har efter betalingslovens § 112, stk. 4, mistet sin ret til at gøre indsigelse over for banken. Banken er ikke forpligtet til at godtgøre klageren indsigelsesbeløbet, og han må rette et eventuelt krav over for F.

Vedrørende betalingen på 74,66 DKK oplyste klageren, at han ikke godkendte betalingen. Ifølge betalingslovens § 97 skal indsigelser mod uautoriserede betalingstransaktioner være udbyderen i hænde snarest muligt efter betaleren har konstateret en sådan betalingstransaktion og senest 13 måneder efter debiteringen af transaktionen.

Ligesom ved transaktionen på 608,87 DKK blev klageren af banken opfordret til at gøre indsigelse, og han indgav først en klage til Ankenævnet den 11. maj 2022, hvorfor han ikke reagerede snarest muligt.

Ankenævnets bemærkninger

Klageren var kunde i Jyske Bank, hvor han havde et Visa/dankort.

Den 27. april 2021 blev der med klagerens kort gennemført to transaktioner på 80,65 EUR (608,87 DKK) og 9,89 EUR (74,66 DKK) til en internethandelsvirksomhed, F, som klageren ikke kan vedkende sig. Transaktionerne blev bogført den 29. april 2021.

Banken har oplyst, at transaktionerne blev godkendt med kortnummer, udløbsdato og CVC-kode.

Banken har anført, at oplysninger om autentifikationsmetode – det vil sige, om en betaling er godkendt med stærk kundeautentifikation – slettes i Nets’ systemer efter 13 måneder, hvorfor banken ikke længere har mulighed for at fremfinde nærmere oplysninger i forhold til autentifikationsmetode for betalingerne, for eksempel om betalingerne falder uden for anvendelsesområdet for betalingsloven og dermed stærk kundeautentifikation, eller om der har været anvendt en af de lovbestemte undtagelser til stærk kundeautentifikation. Banken har dog lagt til grund, at betalingerne ikke blev gennemført med stærk kundeautentifikation.

Banken har endvidere anført, at den lægger til grund, at baggrunden, for at betalingerne ikke blev gennemført med stærk kundeautentifikation, er, at den har været berettiget til at anvende undtagelsen i RTS’ens artikel 18, hvorfor den var berettiget til at undlade at anvende stærk kundeautentifikation i forbindelse med godkendelsen af betalingerne.

Det følger af betalingslovens § 97, stk. 1, at indsigelser mod uautoriserede eller fejlbehæftede betalingstransaktioner skal være udbyderen i hænde snarest muligt efter, at betaleren har konstateret en sådan betalingstransaktion og senest 13 måneder efter debiteringen af den pågældende transaktion.

Den 29. april 2021 blev klageren bekendt med de ikke vedkendte transaktioner og rettede henvendelse til banken, hvor han blandt andet anførte, at han ikke havde foretaget transaktionerne, og at han forventede tilbageførsel af beløbet.

Ved e-mail af 10. maj 2021 svarede banken blandt andet, at banken ikke havde noget med dette at gøre, hvorfor klageren måtte ”tage den med F”, samt at klageren skulle spærre sit kort og fremsætte indsigelse via bankens hjemmeside, hvis han ikke selv havde foretaget transaktionerne.

Ankenævnet finder, at klagerens henvendelse til banken den 29. april 2021 udgjorde en rettidig indsigelse om, at transaktionerne var uautoriserede. Ankenævnet bemærker, at banken generelt har mulighed for at henvise kunder til at kvalificere en indsigelse udover første henvendelse, men i lyset af at klageren ved samme lejlighed blev instrueret om at rette sin indsigelse direkte mod F, hvilket klageren efterkom, finder Ankenævnet, at det ikke kan lægges klageren til last, at indsigelsen ikke blev foretaget på bankens hjemmeside.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.

Ankenævnet lægger i overensstemmelse med det af banken oplyste til grund, at der ikke blev anvendt stærk kundeautentifikation ved transaktionerne. Efter bestemmelsens stk. 2, er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionerne var uautoriserede, da der ikke foreligger oplysninger fra banken, som kan føre til et andet resultat, og da det forhold ikke bør komme klageren til skade henset til, at hans indsigelse til banken var rettidig.

Det følger af betalingslovens § 99, at betalerens udbyder af betalingstjenester hæfter i forhold til betaleren for tab som følge af uautoriserede betalingstransaktioner, medmindre andet følger af betalingslovens § 100.

Når der ikke er brugt stærk kundeautentifikation, følger det af betalingslovens § 100, stk. 7, at klageren kun kan komme til at hæfte helt eller delvist for betalingerne, jf. betalingslovens § 100, stk. 3 - 5, hvis klageren har handlet svigagtigt, hvilket der efter sagens oplysninger ikke er grundlag for at antage.

Ankenævnet finder herefter, at Jyske Bank inden 30 dage skal tilbageføre 683,53 kr. til klagerens konto.

Ankenævnets afgørelse

Jyske Bank skal inden 30 dage tilbageføre 683,53 kr. til klagerens konto med valør fra datoen for debiteringen af transaktionen.

Klageren får klagegebyret tilbage.