Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod korttransaktion foretaget som 3D Secure betaling ved godkendelse i NemID-nøgleapp i forbindelse med phishing.

Sagsnummer: 448/2022
Dato: 31-05-2023
Ankenævn: Bo Østergaard, Inge Kramer, Andreas Moll Årsnes, Morten Bruun Pedersen og Jørn Ravn.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod korttransaktion foretaget som 3D Secure betaling ved godkendelse i NemID-nøgleapp i forbindelse med phishing.
Indklagede: Spar Nord Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod korttransaktion foretaget som 3D Secure betaling ved godkendelse i NemID-nøgleapp i forbindelse med phishing.

Sagens omstændigheder

Klageren var kunde i Spar Nord Bank, hvor hun havde en konto med et tilhørende Visa/Dankort -843.

Den 20. september 2022 blev der foretaget en betaling med betalingskort -843 på 799 EUR, svarende til 6.001,98 DKK, til en betalingsmodtager, H, som klageren ikke kan vedkende sig.

Om baggrunden for betalingen har klageren oplyst, at hun modtog en mail fra Sygeforsikringen ”Danmark”, og at hun havde ventet på en opgørelse herfra. Hun indtastede herefter sine kortoplysninger og forsøgte at godkende med sit NemID tre gange i alt, da NemID ”drillede”. Hun så ved tredje forsøg, at der stod, at hun skulle betale 799 EUR, hvorfor hun afviste denne.

Banken har oplyst, at betalingen er foretaget med 3D Secure ved godkendelse med NemID-nøgleapp -4143, og har fremlagt en transaktionsliste fra Nets, hvoraf fremgår, at klageren ved godkendelse i sin NemID-nøgleapp blev præsenteret for følgende tekst:

”Betal 799,00 EUR til [H] fra kort xx3843”

Af hændelseslog for NemID fremgår det, at transaktionen den 20. september 2022 kl. 08:41 blev accepteret i NemID-nøgleapp med serienummeret -4143 fra IP-adresse -183.

Den 22. september 2022 gjorde klageren indsigelse over for banken. I indsigelsesblanketten anførte hun blandt andet, at hun blev opmærksom på transaktionen ganske hurtigt efter, at hun havde godkendt med NemID, og at der så intet skete, at hun på intet tidspunkt bekræftede sine kortoplysninger samt andre oplysninger pr. mail, og at hun mistænkte de personer som sendte mailen, og som hun også havde videregivet kortoplysninger og NemID til, for at stå bag transaktionen.

Banken har afvist at tilbageføre beløbet til klageren.

Parternes påstande

Den 31. oktober 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Spar Nord Bank skal tilbageføre beløbet.

Spar Nord Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun modtog en vellignende mail fra Sygeforsikringen ”Danmark”, som hun også tjekkede i browserlinjen, og som kom på det ”rigtige” tidspunkt, idet hun afventede en opgørelse herfra. Hun troede, at der var tale om den ventede tilbagebetaling, og indtastede derfor sine kortoplysninger og godkendte med NemID.

Hun forsøgte tre gange i alt, da NemID ”drillede”. Tredje gang så hun, at der stod, at hun skulle betale 799 EUR og afviste denne, men én af de to forrige må åbenbart være gået igennem. Hun har flere gange tidligere oplevet, at NemID opførte sig på den måde.

Hun spærrede sit kort med det samme og kontaktede sin bankrådgiver og bankens kundeservice. Hun mener, at hun har gjort alt korrekt, efter at hun blev opmærksom på, at der var tale om en falsk mail. Det er ikke sket for hende før. Hun har ikke handlet uforsvarligt og har bestemt ikke bevidst givet nogen koder væk.

Hun opfylder kriterierne, som er opstillet på forbrugerombudsmandens hjemmeside, for ikke at hæfte for tabet.

Hun er en god kunde, som ikke har udvist nogen form for bedrageri, ekstrem tåbelighed eller andet, og hun er normalt en person, som tænker sig meget om og er påpasselig.

Hun har ikke handlet i ond tro.

Spar Nord Bank har anført, at klageren selv har godkendt transaktionen i sin NemID-nøgleapp.

Transaktionen er godkendt med NemID, og der er anvendt stærk kundeautentifikation.

Betalingen er korrekt registreret og bogført og har ikke været ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98.

Klageren burde have reageret på teksten i NemID-nøgleappen, hvor hun fik oplysninger om beløbet og beløbsmodtager.

Uanset at det kan lægges til grund, at klageren har været udsat for phishing, hæfter hun derfor for op til 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4, nr. 3, da hun ved at godkende transaktionen har udvist groft uforsvarlig adfærd.

Ankenævnets bemærkninger

Klageren var kunde i Spar Nord Bank, hvor hun havde et Visa/Dankort -843.

Den 20. september 2022 blev der foretaget en betaling med betalingskort -843 til en betalingsmodtager, H, som klageren ikke kan vedkende sig. Om baggrunden for betalingen har klageren oplyst, at hun modtog en mail, som så ud til at være fra Sygeforsikringen ”Danmark”, og idet hun ventede på en tilbagebetaling, indtastede hun sine kortoplysninger og forsøgte at godkende med NemID.

Klageren har anført, at hun forsøgte godkendelse flere gange, idet NemID ”drillede”. Ved tredje forsøg blev hun opmærksom på, at der stod, at hun skulle betale 799 EUR, hvorfor hun afviste transaktionen.

Den omtvistede betaling med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Bo Østergaard, Inge Kramer og Andreas Moll Årsnes – udtaler:

Vi lægger til grund, at klageren har godkendt betalingen på 799 EUR i sin NemID-nøgleapp.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i NemID-nøgleappen, hvor hun fik oplysninger om beløbet på 799 EUR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Jørn Ravn – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf.  betalingslovens § 100, stk. 3. 

Vi stemmer derfor for, at banken skal tilbageføre 5.626,98 DKK til klageren. 

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.