Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 kr. af korttransaktioner godkendt i NemID-nøgleapp. Phishing.

Sagsnummer: 372/2022
Dato: 21-04-2023
Ankenævn: Bo Østergaard, Jonas Thestrup Nielsen, Karin Sønderbæk, Morten Bruun Pedersen og Finn Borgquist.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Ledetekst: Indsigelse mod at hæfte for 8.000 kr. af korttransaktioner godkendt i NemID-nøgleapp. Phishing.
Indklagede: Sparekassen Sjælland-Fyn
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktioner godkendt i NemID-nøgleapp.

Sagens omstændigheder

Klageren var kunde i Sparekassen Sjælland-Fyn, hvor han havde en konto med et tilknyttet Visa/dankort.

Den 11. august 2022 blev klagerens betalingskort anvendt til tre betalinger til en betalingsmodtager, F, på henholdsvis 115 EUR, 150 EUR og 1.500 EUR, som klageren ikke kan vedkende sig.

Sparekassen har oplyst, at klageren den 11. august 2022 havde en aktiv NemID-nøgleapp med serienummer xxxx-xxxx-2195, der var installeret den 10. september 2021.

Sparekassen har fremlagt en log fra NemID-portalen og et overblik over klagerens NemID samt en meddelelse fra Nets, hvoraf det fremgår, at transaktionerne blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp, og at følgende tekster blev sendt til klagerens NemID-nøgleapp:

Dato og tid

Beløb

Valideret med

Tekst NemID-nøgleapp

11.08.2022 kl. 15:58

115 EUR –

868,70 DKK.

NemID-nøgleapp

Serienummer xxxx-xxxx-2195

Betal 115,00 EUR til [F] fra kort xx1810

11.08.2022 kl. 15:58

150 EUR-

1.133,10 DKK

NemID-nøgleapp

Serienummer xxxx-xxxx-2195

Betal 150,00 EUR til [F] fra kort xx1810

11.08.2022 kl. 16:00

1.500 EUR-

11.330,91 DKK

NemID-nøgleapp

Serienummer xxxx-xxxx-2195

Betal 1.500,00 EUR til [F] fra kort xx1810

Der blev herefter bogført i alt 13.332,71 DKK på klagerens konto.

Klageren gjorde den 16. august 2022 over for sparekassen indsigelse mod de ikke vedkendte transaktioner og oplyste, at der var trukket et andet beløb eller mere, end han havde godkendt. Desuden anførte han, at beløbet ikke var det samme, som det han godkendte, og at beløbet eller valutaen var anderledes end det, han godkendte. Klageren anførte følgende i rubrikken ”Beskriv hvad der er sket:”:

”Jeg satte en Analog skijakke til salg på DBA til 150 kr. og bliver kontaktet på WhatsApp af en herre, som går under navnet Rasmus. Rasmus foreslår en kurerløsning via postnord, hvor jeg betaler for forsendelse og han betaler for varen. Efter at have undersøgt Postnords hjemmesiden om kurerløsninger går jeg med til salget. Derefter sender Rasmus et link til kurerforsendelsen (ikke mistænksom URL) som er identisk med Postnords egen hjemmesiden, hvorpå salgsprisen på 150 kr. for jakken er angivet samt ca. 60 kr. for forsendelse, som jeg skulle betale. Jeg udfylder salgsblanketten med kortoplysninger og godkender gennem NemID. Skærmen loader men bliver ikke videresendt til kvittering. Derfor kan jeg desværre heller ikke fremvise kvittering for den aftal[t]e købspris i min indsigelse. Jeg benytter mig af den tilgængelige chatbot, hvor jeg forklarer at købet ikke går igennem. Chatbotten forklarer på perfekt dansk, at jeg kan prøve med et andet betalingskort, hvilket jeg ikke gør. Efter at have ventet et par minutter, ser jeg at prisen har ændret sig til 1.500 euro, hvorpå jeg skynder mig at lukke vinduet. Jeg tjekker min netbank på min app (Sparekassen Sjælland), hvor jeg kan se at mit kort er blevet spærret. Jeg ringer derefter til hotlinen og bliver stillet igennem til hovedkontoret, hvor jeg bliver informeret om 4 transaktioner, som er blevet foretaget på mit kort (en der blev blokeret og 3 der senere er gået igennem på i alt 13.334 kr.). De tre transaktioner som er gået igennem er på henholdsvis 115,00 euro, 150,00 euro og 1.500,00 euro. Da vedkommende bliver ved med at skrive til mig imens jeg snakker med min bank, vælger jeg at slette WhatsApp, da jeg tror at korrespondancen bliver gemt på appen gennem mit telefonnummer. Da jeg forsøger at finde korrespondancen, viser det sig at de skal genskabes gennem iCloud. Da jeg ikke har sat min iCloud op, har jeg nu mistet korrespondancen med vedkommende.”

Den 1. september 2022 godtgjorde sparekassen klagerens tab fratrukket 8.000 DKK svarende til 5.332,71 DKK.

Parternes påstande

Den 14. september 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Sjælland-Fyn skal tilbageføre hele beløbet til ham, subsidiært at selvrisikoen skal nedsættes.

Sparekassen Sjælland-Fyn har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at det fremgik af hans oprindelige indsigelse mod betalingerne over for sparekassen og hans senere klage til sparekassen, at han oprettede en betaling på 61 DKK svarende til portoen. Dette beløb accepterede han via NemID. Overførslen sad herefter fast i indlæsnings-/bufferfasen, og der gik et halvt minut, før han benyttede den tilgængelige chatboks. Her gik der yderligere tid med, at han formulerede spørgsmålet til chatboksen og igen tid på at modtage forslaget om, at han kunne anvende et nyt betalingskort (hvilket han ikke gik med til).

Den tid, som blev anvendt fra godkendelsen af beløbet via NemID-nøgleapp til chatten med chatboksen, ville i sig selv ikke tillade en yderligere overførsel indenfor samme minut (kl. 15:58), som sparekassen har anført, at der er bevis for.

Hvis alle de tre overførsler hver især skulle være modtaget og manuelt godkendt (ved at skrive brugernavn og kodeord samt verificere gennem NemID-nøgleapp) på to minutter, indebærer det, at al spildtid reduceres til det absolut minimale. Sagt på en anden måde, så skulle hver overførsel være foretaget direkte efter den forudgående uden nogen ventetid mellem overførslerne (blandt andet på en kvittering). Dette forekommer usandsynligt og er ikke i overensstemmelse med det sagsforløb, som han tidligere har beskrevet over for sparekassen. Han havde intet motiv til at godkende tre overførsler inden for så kort et tidsrum.

I sin første afvisning af hans indsigelse anførte sparekassen, at han havde en selvrisiko på 8.000 DKK, da han havde godkendt tredjemands installation af hans NemID på en ny enhed. Dette har sparekassen i sit seneste svar ændret til, at de tre betalinger blev gennemført af ham selv via manuel godkendelse med NemID-nøgleapp. Denne beskrivelse er ikke i overensstemmelse med det sagsforløb, som han tidligere har beskrevet over for sparekassen. Denne ændring af sagsforløbet medfører, at han skulle have udvist en større uansvarlighed end forudsat i sparekassens oprindelige afgørelse, hvor sparekassen anførte, at tredjemand stod for overførslerne via installation af NemID-nøgleapp på en ny enhed.

Sparekassen Sjælland-Fyn har anført, at alle tre transaktioner er sendt til godkendelse i klagerens NemID-nøgleapp og er godkendt med klagerens NemID-nøgleapp med serienummer xxxx-xxxx-2195, som blev installeret og aktiveret af klageren den 10. september 2021. Der blev ikke installeret en ny NemID-nøgleapp i forbindelse med gennemførsel af betalingerne den 11. august 2022, som klageren har gjort indsigelse mod.

Klageren modtog i forbindelse med sit salg på DBA en phishingmail med ”Postnord” som afsender. Klageren klikkede på et link i den modtagne mail og indtastede sine kortoplysninger. Herefter blev der oprettet tre betalinger, som blev sendt til godkendelse i klagerens NemID-nøgleapp. Det fremgik klart og tydeligt af følgeteksten på hver enkelt betaling, at det var godkendelse af en betaling på henholdsvis 115 EUR, 150 EUR samt 1.500 EUR til F.

Der var således tale om, at klageren selv godkendte betalingerne i sin NemID-nøgleapp, hvorefter betalingerne blev gennemført.

Klageren befandt sig ikke i en presset situation svarende til for eksempel den situation, hvor misbruget sker i forbindelse med en telefonisk henvendelse.

Ud fra en samlet vurdering var der tale om, at klageren muliggjorde betalingerne ved groft uforsvarlig adfærd, jf. betalingslovens § 100, stk. 4, nr. 3. Klageren hæfter derfor for 8.000 DKK af tabet, og sparekassen har derfor godtgjort klageren 5.332,71 DKK.

Ankenævnets bemærkninger

Den 11. august 2022 blev klagerens betalingskort anvendt til tre betalinger til en betalingsmodtager, F, på henholdsvis 115 EUR, 150 EUR og 1.500 EUR svarende til i alt 13.332,71 DKK, som klageren ikke kan vedkende sig.

Klageren har oplyst, at han satte en skijakke til salg på DBA og aftalte med køber, at klageren skulle betale forsendelsen. Klageren modtog fra køber en phishing mail med ”Postnord” som afsender. Klageren klikkede på et link i den modtagne mail og udfyldte salgsblanketten med kortoplysninger, og klageren har anført, at han godkendte en betaling på ca. 60 DKK med NemID. Da han ikke modtog en kvittering for transaktionen, chattede han med en tilgængelig chatbot. Efter at have ventet et par minutter, så han, at prisen havde ændret sig til 1.500 EUR, hvorefter han skyndte sig at lukke vinduet.

Sparekassen har godtgjort klagerens tab fratrukket 8.000 DKK svarende til 5.332,71 DKK.

De omtvistede transaktioner på henholdsvis 115 EUR, 150 EUR og 1.500 EUR blev foretaget ved sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.

Ankenævnet lægger til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionerne skyldtes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens NemID er en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Bo Østergaard, Jonas Thestrup Nielsen og Karin Sønderbæk – udtaler:

Vi finder det godtgjort, at klageren har godkendt de tre betalinger på henholdsvis 115 EUR, 150 EUR og 1.500 EUR i sin NemID-nøgleapp. Vi har herved lagt vægt på indholdet af meddelelserne fra Nets. Vi finder, at sparekassen derfor har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksterne i NemID-nøgleappen, hvor han fik oplysninger om beløbene på 115 EUR, 150 EUR og 1.500 EUR og beløbsmodtager. Som følge heraf hæfter klageren med 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Finn Borgquist – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, hvor forbrugeren oplever, at beløbet ændrer sig efter, at transaktionen er godkendt, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, hvor beløbet først ændres efter, at transaktionen er godkendt.

Vi finder ikke, at sparekassen har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at sparekassen er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet på 13.332,71 DKK, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 12.957,71 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.