Indsigelse mod hæftelse for misbrug af betalingskort. Spørgsmål om hæftelse som følge af videregivelse af kortoplysninger og sms-engangskode i en situation, der fremstod som en opfordring til opdatere kortoplysninger hos abonnementsudbyder.
| Sagsnummer: | 15 /2018 |
| Dato: | 28-09-2018 |
| Ankenævn: | John Mosegaard, Anders Holkmann Olsen, Peter Stig Hansen, Troels Hauer Holmberg og Finn Borgquist |
| Klageemne: |
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ubegrænset hæftelse |
| Ledetekst: | Indsigelse mod hæftelse for misbrug af betalingskort. Spørgsmål om hæftelse som følge af videregivelse af kortoplysninger og sms-engangskode i en situation, der fremstod som en opfordring til opdatere kortoplysninger hos abonnementsudbyder. |
| Indklagede: | Sparekassen Kronjylland |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Klager medhold
Indledning
Sagen vedrører indsigelse mod hæftelse for misbrug af betalingskort, herunder spørgsmål om hæftelse som følge af videregivelse af kortoplysninger og sms-engangskode i en situation, der fremstod som en opfordring til opdatere kortoplysninger hos abonnementsudbyder.
Sagens omstændigheder
Klageren var kunde i Sparekassen Kronjylland, hvor han havde et Visa/dankort.
Den 5. december 2017 modtog klageren følgende e-mail, hvor afsenderen var angivet som Netflix, som klageren var abonnementskunde hos:
”Fra: Danmark [Netflix] […@...co.au]
Emne: Du skal aktivere dit medlemskab *** …
Hej.
Vi beklager, men vi kunne ikke behandle din betalingsmetode. Din transaktion blev afvist.
Da vi sætter meget pris på dig som kunde, vil vi derfor bede dig om at opdatere dine betalingsoplysninger for fortsat at kunne bruge vores tjeneste – det tager kun få øjeblikke og kan gøres nemt ved hjælp af det link, du finder i bunden af mailen.”
Klageren har endvidere fremlagt en e-mail af 5. december 2017 uden afsender/hoved, der ud over ovennævnte tekst indeholdt følgende:
”>> Opdater dine betalingsoplysninger>>
Vi håber, at du ikke giver slip på os. DU er en værdsat kunde, og vi vil gøre vores bedste til, at du også føler dig værdsat. Tak for din tid – vi sætter stor pris på dig!
Netflix International B.V …”
Klageren indtastede sine oplysninger som anført i e-mailen og indtastede endvidere en sms-kode.
Den 7. december 2017 blev der hævet 18.254,28 kr. på klagerens konto. Samme dag fik klageren sit kort spærret og henvendte sig elektronisk til politiet. Her anførte han blandt andet, at hævningen var en svensk transaktion, der var sket via hacking i forbindelse med e-mailen af 5. december 2017. Politiet svarede samme dag, at klageren skulle indgive indsigelse til sin bank, som skulle anmelde misbruget, hvis den ønskede det.
Den 7. december 2017 gjorde klageren indsigelse over for sparekassen, der afviste indsigelsen.
Af sparekassens regler for Visa/dankort fremgik blandt andet følgende:
”…2. Særlige råd ved handel med Visa/Dankort på nettet
Pas på dit kortnummer
Opgiv aldrig dit kortnummer, med mindre du er i en decideret købssituation, hvor du ønsker at betale for noget. I andre situationer skal du aldrig, selvom du bliver opfordret til det, indtaste dit kortnummer. Hverken som ID, en del af ”medlemsoplysninger” eller for at komme videre til en anden side…
3.4 Forudgående registrering af kortdata
Du har mulighed for at registrere dine kortdata hos den enkelte forretning eller hos en udbyder af en digital wallet, så du ikke behøver at indtaste dine kortdata, når du godkender fremtidige internetkøb. Du skal følge anvisningerne fra forretningen eller wallet-udbyderen. …
Du kan også aftale med forretningen, at dine kortdata registreres hos forretningen til brug for betaling af et abonnement. Forretningen vil selv trække de aftalte abonnementsbetalinger, og du skal således ikke godkende den enkelte abonnementsbetaling. …
6 Sikre internetbetalinger
Dankort Secured by Nets og Verified by Visa er en ekstra beskyttelse mod misbrug af kortdata ved handel på internettet. Sikkerheden består i, at du ved køb på internettet – ud over kortet – skal benytte en engangskode, som du modtager fra Nets via SMS i forbindelse med betalingen. Engangskoden skal kun anvendes ved køb i internetforretninger, der anvender Dankort Secured by Nets og Verified by Visa. …
11 Dit ansvar ved misbrug af koret
11.1 I tilfælde af at kortet har været misbrugt af en anden person, vil pengeinstituttet dække tabet, medmindre tabet er omfattet af afsnit 11.2 – 11.6 nedenfor. Det er dit pengeinstitut, der skal bevise, at tabet er omfattet af afsnit 11.2 – 11.6. …
11.3 Du skal dække tab op til DKK 8.000 i tilfælde af, at kortet har været misbrugt af en anden person og PIN-koden har været anvendt, og
- du har undladt at underrette dit pengeinstitut snarest muligt efter at have fået kendskab til, at kortet er bortkommet, eller at uberettigede har fået kendskab til koden
- du har oplyst koden til den, der har foretaget den uberettigede anvendelse, uden du indså eller burde have indset, at der var risiko for misbrug
- du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. …
11.5 Du hæfter for det fulde tab, hvis PIN-koden har været anvendt i forbindelse med misbruget under følgende betingelser
- Du har selv oplyst PIN-koden til den, som har misbrugt kortet, og du indså eller burde have indset, at der var risiko for misbrug…
11.6 Du hæfter endvidere for det fulde tab, hvis du har handlet svigagtigt eller med forsæt har undladt at opfylde dine forpligtelser i henhold til reglerne herunder til at opbevare kortet og mobiltelefonen til Dankort Secured by Nets og Verified by Visa forsvarligt, jf. afsnit 6, til at beskytte PIN-koden, jf. afsnit 4, eller til at spærre kortet, jf. afsnit 10 …”
Parternes påstande
Den 10. januar 2018 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Kronjylland skal dække hævningen på 18.254,28 kr. helt eller delvist.
Sparekassen Kronjylland har nedlagt påstand om principalt frifindelse og subsidiært hæftelse for 8.000 kr.
Parternes argumenter
Klageren har anført, at der er tale om svindel. Han troede, at han blev kontaktet af Netflix, og at han skulle opdatere sine kortoplysninger hos Netflix og bekræfte disse med sms-koden. Han var i god tro. Han havde et par dage forinden talt med Netflix i et andet ærinde, og tonen var uformel. Det er urimeligt, at han skal være ansvarlig for det hævede beløb. Banken skal bære risikoen helt eller delvist.
Sparekassen Kronjylland har til støtte for sin principale påstand anført, at klageren ikke har truffet alle nødvendige foranstaltninger for at beskytte kortet. Klageren har ikke anvendt betalingsinstrumentet i overensstemmelse med sparekassens regler for visa/dankort.
Klageren har selv afgivet sine kortoplysninger, den trecifrede kontrolkode samt indtastet den tilsendte engangskode fra Nets, som er en ekstra sikkerhedsforanstaltning ved handel på nettet.
Klageren påtog sig telefonisk over for sparekassen den 7. december 2017 ansvaret for at have videregivet kontooplysningerne.
Afsenderadressen på e-mailen af 5. december 2017 var ikke Netflix, hvilket burde have gjort klageren mistænksom.
Til støtte for sin subsidiære påstand har sparekassen anført, at transaktionen er korrekt registreret og bogført.
Klageren har afgivet sine personlige kortoplysninger samt kontrolkode.
Klageren har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse.
Klageren har indtastet engangskoden, som skal beskytte mod hævninger fra tredjemand.
Klageren hæfter derfor for 8.000 kr.
Ankenævnets bemærkninger
Det lægges til grund, at hævningen på 18.254,28 kr. den 7. december 2017 på klagerens konto i Sparekassen Kronjylland skyldes tredjemands misbrug/uberettigede anvendelse af klagerens Visa/Dankort. Det lægges endvidere til grund, at betalingen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. den dagældende lov om betalingstjenester § 64, stk. 1 (nu lov om betalinger § 98, stk. 1).
Baggrunden for hævningen var, at klageren den 5. december 2017 modtog en e-mail, hvor afsenderen fremstod som Netflix, hos hvem klageren var abonnent. I e-mailen blev klageren opfordret til at opdatere sine kortoplysninger hos Netflix. Klageren indtastede sine oplysninger som anført i e-mailen og indtastede endvidere en sms-kode.
Tre medlemmer – John Mosegaard, Troels Hauer Holmberg, og Finn Borgquist – udtaler:
Vi finder, at sms-engangskoden ikke er en personlig sikkerhedsforanstaltning i tilknytning til kortet, som omtalt i den dagældende lov om betalingstjenester § 62, jf. Folketingstidende 2008-2009 tillæg A, side 3558, hvoraf det fremgår, at der for eksempel kan være tale om en pinkode, fingeraftryk eller aflæsning af øjets iris, og at en underskrift ikke betragtes som en personlig sikkerhedsforanstaltning.
Vi finder, at den omtvistede hævning var en uautoriseret betaling, som klageren ikke hæfter for, jf. den dagældende betalingstjenestelovs § 61 (nu lov om betalinger § 99, stk. 1).
Vi finder herefter, at Sparekassen Kronjylland inden 30 dage skal tilbageføre 18.254,28 kr. til klageren med valør på datoen for debitering af beløbet.
To medlemmer – Anders Holkmann Olsen, Peter Stig Hansen – udtaler:
Efter § 62, stk. 3, nr. 2 i den dagældende lov om betalingstjenester hæfter betaleren med op til 8.000 kr., når betaleren har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 6 – det vil sige uden at betaleren har oplyst den personlige sikkerhedsforanstaltning til misbrugeren under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.
I den konkrete sag har klageren oplyst, at han indtastede 3D secure koden i forbindelse med opdateringen af sine kortoplysninger via den mail han modtog og som fremstod at komme fra Netflix. Vi lægger derfor til grund, at klageren har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse.
På dette grundlag finder vi, at klageren hæfter for 8.000 kr., jf. § 62, stk. 3, nr. 2 i den dagældende lov om betalingstjenester.
Vi bemærker i denne forbindelse, at en SMS-engangskode må betragtes som en personlig sikkerhedsforanstaltning i tilknytning til kortet i lov om betalingstjenesters forstand (på samme måde som det er det efter lov om betalinger), når koden – som i 3D secure løsningen (Dankort Secured by Nets eller Verified by Visa) – er dannet som en ekstra personlig sikkerhedsforanstaltning ved brug af NemID, og hvor en betaling i en bestemt situation kræver brug af en sådan unik engangskode. Det fremgår i øvrigt af sparekassens Regler for Visa/Dankort, at en kortholder godkender (autoriserer) en betaling med kortet, når koden fra Nets bliver brugt ved køb på internettet.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Sparekassen Kronjylland skal inden 30 dage tilbageføre 18.254,28 kr. til klageren som ovenfor anført.
Klageren får klagegebyret tilbage.