Indsigelse mod at hæfte for korttransaktion. Phishing.
| Sagsnummer: | 355/2021 |
| Dato: | 24-05-2022 |
| Ankenævn: | Bo Østergaard, Christina B. Konge, Karin Duerlund, Tina Thygesen, Anna Marie Schou Ringive. |
| Klageemne: |
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod at hæfte for korttransaktion. Phishing. |
| Indklagede: | Sparekassen Danmark |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for korttransaktion. Phishing.
Sagens omstændigheder
Klageren var kunde i Sparekassen Danmark, hvor hun havde en konto med et tilknyttet Visa/dankort.
Den 9. juli 2021 blev klagerens betalingskort anvendt til en betaling til et udenlandsk firma, F, på 2.169,71 EUR, som klageren ikke kan vedkende sig.
I sagen er fremlagt en mail sendt til klageren den 9. juli 2021. Mailen fremstod som værende fra en pakkeshop, P, og indeholdt et link. Af mailen fremgik, at en pakke med et nærmere angivet nummer var ankommet til et af P’s depoter, og at pakken ville blive leveret, så snart der var betalt omkostninger til P på 14,99 DKK.
Klageren har oplyst, at hun klikkede på linket i mailen og blev omstillet til en hjemmeside. På hjemmesiden var der et billede af en pakke, som hun formodede var hendes pakke, og der stod, at hun skulle betale 14,99 DKK. Hun indtastede herefter sine kortoplysninger og godkendte betalingen med NemID. I dette trin blev hun ikke gjort opmærksom på, at de 14,99 DKK ændredes til 2.169,71 EUR.
Sparekassen har oplyst, at betalingen blev godkendt i klagerens NemID-nøgleapp. Sparekassen har fremlagt en udskrift fra Nets, hvoraf fremgår den tekst, som klageren fik præsenteret i NemID-nøgleappen. Følgende tekst fremgår af udskriften:
”Betal 2.169,71 EUR til [F] fra kort xx3680”
Sparekassen har endvidere fremlagt sine Regler for Visa/dankort og en udskrift fra P’s hjemmeside, hvor P advarer mod falske mails.
Få timer efter at klageren havde godkendt transaktionen, henvendte hun sig til P og blev bekendt med, at mailen var falsk. Herefter fik hun spærret sit betalingskort og sit nøglekort.
Den 13. juli 2021 blev der trukket 2.169,71 EUR svarende til 16.386,20 DKK på klagerens konto. Samme dag indgav klageren en politianmeldelse.
Den 16. juli 2021 gjorde klageren indsigelse over for banken. I indsigelsesblanketten anførte klageren blandt andet:
”Jeg modtog en mail fredag d.9/[7]-21, fra nogle som udgav sig for at være [P]. Jeg skulle følge et link for at betale et pakkegebyr, dette gjorde jeg, da jeg afventede en pakke, og derfor troede det var rigtig nok. Jeg udfyldte mine kortoplysninger, godkendte med NemID, hvorefter jeg ikke tænkte yderligere over dette. Få timer efter undrer jeg mig over, at mailen var fra [P] og ikke told. Jeg kontakter [P] som fortæller, at det er snyd. Jeg skynder mig at kontakte banken, og får dem til at spærre mit kort. Derefter får jeg spærret mit NemID. Sagen er desuden oprettet ved politiet. Tirsdag d. 13/7 kan jeg se, at der er blevet trukket 16.386,20 kr., hvorfor jeg nu desværre må lave denne indsigelse.
Sparekassen godtgjorde klagerens tab fratrukket 8.000 kr. svarende til 8.386,20 DKK.
Parternes påstande
Den 18. august 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Danmark skal godtgøre hende hele transaktionen og dermed betale 8.000 kr.
Sparekassen Danmark har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at hun ikke bør hæfte for transaktionen.
Hun var i god tro, idet hun ventede på en pakke fra udlandet. Hun mistænkte derfor ikke mailen for at være falsk.
Hun var på intet tidspunkt klar over, at summen pludselig ændrede sig fra knap 15 DKK til ca. 2.170 EUR på et splitsekund.
Da hun kontaktede sparekassen, fik hun at vide, at hun var i ”gode hænder”, og at hun var dækket fuldt ud gennem banken. Hun regnede herefter ikke med, at sparekassen ville vende denne situation til at være hendes egen skyld.
Hun handlede så hurtigt hun kunne, da hun fik mistanke om, at hun kunne have været udsat for misbrug. Hun gjorde alt, hvad hun kunne gøre. Hun ringede til P, sparekassen, politiet, Nets og Digitaliseringsstyrelsens hotline for at få al den vejledning, hun kunne få.
Sparekassen Danmark har anført, at det må antages, at klageren har været udsat for tredjemandsmisbrug af sit kort i form af phishing.
Transaktionen blev korrekt registreret og bogført og har ikke været ramt af tekniske svigt eller andre fejl.
Det var ikke muligt for sparekassen at tilbageføre eller annullere transaktionen efter, at den var godkendt med klagerens NemID.
Klageren befandt sig ikke i en presset situation, og hun havde derfor tid til at undersøge mailen, inden hun gennemførte transaktionen.
Klageren burde have indset, at P hverken ville kræve betaling ved levering af pakken eller opkræve told, moms eller lignende, og at hun derfor skulle udvise øget agtpågivenhed, inden hun videregav betalingsoplysningerne og godkendte transaktionen.
Klageren videregav med forsæt alle kortoplysninger og godkendte transaktionen i sin NemID-nøgleapp under omstændigheder, hvor hun indså eller burde have indset, at der var risiko for misbrug, og klageren bør derfor hæfte for det fulde beløb, jf. betalingslovens § 100, stk. 5.
Klageren godkendte betalingen i sin NemID-nøgleapp, selv om hun kunne læse, at hun var ved at overføre EUR 2.169,71 til F. Det må som minimum kunne forventes, at betaleren læser den tekst, som står i NemID-nøgleappen, inden transaktionen godkendes, og klageren bør i hvert fald hæfte for 8.000 kr. af transaktionen, jf. betalingslovens § 100, stk. 4, nr. 3.
Ankenævnets bemærkninger
Klageren har gjort indsigelse mod en korttransaktion på 2.169,71 EUR svarende til 16.386,20 DKK foretaget den 9. juli 2021 til en betalingsmodtager, F.
Om baggrunden for transaktionen har klageren oplyst, at hun ventede på en pakke fra udlandet og troede, at omkostningerne til P vedrørte denne pakke. Hun modtog en mail fra P med oplysning om, at hun skulle betale 14,99 DKK. Hun kikkede på linket i mailen og blev omstillet til en hjemmeside. Hun godkendte en betaling på 14,99 DKK med sit NemID. Hun var på intet tidspunkt klar over, at summen pludselig ændrede sig fra 14,99 DKK til ca. 2.170 EUR på et splitsekund.
Sparekassen har oplyst, at den omtvistede betaling blev foretaget ved godkendelse i klagerens NemID-nøgleapp.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen.
Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket sparekassen heller ikke har bestridt.
Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.
Det fremgår af forarbejderne til betalingslovens § 100, stk. 5 (lovforslag nr. L157 af 15. marts 2017), at hæftelse uden beløbsbegrænsning ikke finder anvendelse, hvis den personlige sikkerhedsforanstaltning uforvarende er overladt til andre, eksempelvis i forbindelse med phishing, idet betaleren ikke har overdraget den personlige sikkerhedsforanstaltning med forsæt til, at der skal foretages den uberettigede anvendelse.
Ankenævnet finder, at klageren har været udsat for phishing. Ankenævnet finder, at banken ikke har godtgjort, at betingelserne for, at klageren hæfter uden beløbsbegrænsning efter betalingslovens § 100, stk. 5, er opfyldt.
Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).
Tre medlemmer – Bo Østergaard, Christina B. Konge og Karin Duerlund – udtaler:
Vi lægger til grund, at klageren må have godkendt betalingen på 2.169,71 EUR i sin NemID-nøgleapp. Vi finder, at sparekassen har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i NemID-nøgleappen, hvor hun fik oplysninger om beløbet på 2.169,71 EUR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Tina Thygesen og Anna Marie Schou Ringive – udtaler:
Vi finder ikke, at klageren har udvist groft uforsvarlig adfærd, idet det må forudsættes at klageren, såfremt klageren havde forudsætninger for at gennemskue svindlen, ikke ville have godkendt transaktionen. Klageren forventede en pakke fra udlandet og var derfor i god tro om, at det var realistisk, at der manglede betaling af et mindre beløb.
Som ovenfor anført finder Ankenævnet, at der er tale om svindel fra tredjemands side. Forbrugere har forskellige forudsætninger for at gennemskue svindel, og det må aldrig blive utrygt for den almindelige forbruger at anvende de betalingstjenester, der er udviklet og svære at komme uden om.
Hertil bemærkes, at begrebet "groft uforsvarlig adfærd" angiver, at grov uagtsomhed i almindelig forstand ikke er tilstrækkelig til at pådrage betaleren hæftelse efter bestemmelsen.
Idet der er tale om en væsentlig skærpelse af ansvarsbetingelsen i forhold til begrebet "grov uagtsomhed", som normalt anvendes som en betegnelse for "tilsidesættelse af den agtpågivenhed, som selv skødesløse personer plejer at udvise", må der forudsættes en udvidet beskyttelse af forbrugeren, og dermed at der pålægges et udvidet ansvar hos udbyderen af betalingsløsningen.
Klageren oplyser, at beløbet der er godkendt, ændrede sig fra kr. 14,99 til ca. EUR 2.170 på et splitsekund.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, og der er ikke belæg for at lægge til grund, at der i sager med phishing, hvor forbrugeren oplever, at beløbet ændrer sig undervejs i transaktionens godkendelsesproces, ikke er tale om raffineret systemteknisk misbrug, også i de tilfælde hvor svindleren er lykkedes med at udvikle tekniske løsninger, hvor beløbet først ændres efter transaktionen er godkendt.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem forbrugeren anvender, gør transaktionen tilstrækkeligt tydelig, herunder at udformningen af den tekst forbrugeren godkender, fremgår tydeligt.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt hæfter klageren for 375 kr. af tabet på 16.386,20 kr., jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at klageren får medhold i klagen.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.