Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev gennemført som 3D Secure transaktion ved godkendelse med MitID. Phishing.
| Sagsnummer: | 197 /2023 |
| Dato: | 12-12-2023 |
| Ankenævn: | Henrik Waaben, Karin Duerlund, Andreas Moll Årsnes, Jacob Ruben Hansen og Anna Marie Schou Ringive. |
| Klageemne: |
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - øvrige spørgsmål |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev gennemført som 3D Secure transaktion ved godkendelse med MitID. Phishing. |
| Indklagede: | Danske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev gennemført som 3D Secure transaktion ved godkendelse med MitID.
Sagens omstændigheder
Klageren var kunde i Danske Bank, hvor hun blandt andet havde en konto med et tilhørende Visa/Dankort.
Den 19. november 2022 blev der med klagerens Visa/Dankort foretaget en betaling på 6.881 NOK, svarende til 4.894,99 DKK, til en betalingsmodtager B. Klageren kan ikke vedkende sig betalingen.
Betalingen blev bogført og trukket på klagerens konto den 22. november 2022.
Om baggrunden for transaktionen har klageren oplyst, at hun den 19. november 2022 modtog en e-mail, der fremstod som værende fra SKAT, og hvoraf det fremgik, at hun var berettiget til skatterefusion. Ved at klikke på fodnoten i e-mailen blev hun dirigeret videre til SKATs hjemmeside. Klageren fulgte instruksen i e-mailen, da hun tidligere havde været i korrespondance med SKAT omkring årsopgørelsen for 2021. Hun udfyldte i den forbindelse ansøgningen om skatterefusionen i e-mailen ”med beskyttelse af MitID”.
I sagen er der fremlagt en udskrift fra Nets, hvoraf fremgår følgende tekst, der blev sendt til klagerens MitID-app i forbindelse med godkendelse af kortbetalingen:
”Betal 6881,00 NOK til [betalingsmodtager B] fra kort xx9118”
Banken har fremlagt Processing Details fra Nets, hvoraf blandt andet fremgår, at der den 19. november 2022 blev foretaget en betaling på 6.881 NOK, som blev godkendt med Mit-ID.
Banken har oplyst, at kortbetalingen blev godkendt med stærk kundeautentifikation med klagerens MitID-app, der var installeret på klagerens iPhone SE.
Banken har oplyst, at transaktionen er korrekt registreret, bogført og ikke ramt af tekniske svigt eller andre fejl.
Den 19. november 2022 modtog klageren en SMS fra banken om, at hendes Visa/Dankort var blevet spærret, da uvedkommende muligvis havde fået adgang til hendes kontooplysninger. I samme SMS blev klageren bedt om at ringe til banken for at bekræfte transaktionen.
Klageren har oplyst, at hun umiddelbart efter modtagelsen af SMS’en ringede til banken. Banken oplyste, at den e-mail, hun havde modtaget, ikke var fra SKAT, og at svindleren forsøgte at hæve penge fra hendes konto. Hun bekræftede ikke transaktionen og bad banken om at annullere den med det samme, ligesom hun accepterede kortspærringen. Tre dage senere opdagede hun, at der var blevet trukket 4.894,99 DKK på hendes konto, selvom kortet var blevet spærret.
Den 29. november 2022 gjorde klageren indsigelse mod transaktionen i en tro- og loveerklæring.
Ved e-mails af 30. november 2022 og 8. december 2022 afviste banken klagerens indsigelse med henvisning til, at hun selv hæftede med 8.000 DKK, jf. kortvilkårene og betalingsloven. Da den ikke-vedkendte transaktion var mindre end 8.000 DKK, afviste banken at godtgøre klageren de 4.894,99 DKK.
Ved e-mail af 13. december 2022 klagede klageren over bankens afgørelse til bankens klageansvarlige.
Ved e-mail af 27. januar 2023 fastholdt bankens klageansvarlige bankens afvisning.
I en periode herefter var klageren og banken i yderligere e-mailkorrespondance omkring transaktionen.
Banken har oplyst, at den i forbindelse med undersøgelsen af sagen kontaktede betalingsmodtager B og en anden virksomhed, C, da betalingsmodtager B og virksomhed C arbejder sammen. Virksomhed C bekræftede over for banken, at betalingen var gennemført og brugt til at købe en ikke-refunderbar flybillet, men at virksomhed C ikke kunne hjælpe yderligere, da den pågældende flyafgang var passeret.
Parternes påstande
Den 22. marts 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal betale 4.894,99 DKK til hende.
Danske Bank har nedlagt påstand om principal frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har blandt andet anført, at hun har været udsat for en forbrydelse. Hun opdagede ikke misbruget, fordi svindlerne følger med tiden og er dygtige til at lave falske hjemmesider. Desværre gjorde banken ikke noget for at forebygge kriminaliteten, og den efterforskede heller ikke svindlen, fordi den ikke led et tab.
SKAT arbejdede i perioden omkring den 19. november 2022 på årsopgørelsen for 2021, og hun havde været i en intensiv e-mailkorrespondance med SKAT, som over flere omgange sendte hende yderligere anmodninger. På tidspunktet for svindlen forventede hun at modtage den endelige afgørelse fra SKAT, som kunne omfatte både overskud og underskud, da erklæringen også indeholdt indtægter fra hendes turismeaktiviteter. Hun har et turistbureau og samarbejder med forskellige lande, inklusive Norge. Hun besluttede sig for ikke at forsinke udbetalingen og handlede i henhold til vejledningen i e-mailen og udfyldte ansøgningen med beskyttelse af MitID.
Under telefonsamtalen med banken den 19. november 2022 bad hun om, at transaktionen blev annulleret og hendes Visa/Dankort spærret. Det ignorerede banken.
Efter betalingslovens § 109 anses en betalingsordre for modtaget på det tidspunkt, hvor betalingsordren modtages. Hvis tidspunktet for modtagelsen ikke er en arbejdsdag, anses betalingsordren for at være modtaget den følgende arbejdsdag. I dette tilfælde blev betalingsordren afgivet lørdag den 19. november 2022, altså ikke på en arbejdsdag, hvorfor betalingsordren skulle anses for modtaget mandag den 21. november 2022. Banken havde altså efter spærringen af hendes Visa/Dankort mulighed for at afvise den reserverede transaktion.
Hendes situation viser, at banken ikke har velfungerende sikkerhedsforanstaltninger og kontroller på plads for at begrænse de negative effekter af elektroniske betalinger.
Banken undersøgte ikke forholdet, men afviste hendes indsigelse alene med henvisning til betalingslovens § 100, stk. 4, nr. 3. Banken frasagde sig herved ethvert ansvar for den uautoriserede transaktion og for sikkerheden for hende som kunde.
Banken forspildte chancen for at finde frem til svindleren, selvom svindlerens navn fremgik af den flybillet, der blev købt med hendes penge. Betalingsmodtager B tilbød banken at samarbejde, men det benyttede banken sig ikke af. Bankens inaktivitet betyder, at kunderne ikke har nogen beskyttelse. Da banken begyndte at undersøge sagen, kunne den ikke længere få oplyst navnet på personen, der stod på billetten.
Banken gav hende ikke alle oplysninger i sagen i henhold til betalingslovens § 103, stk. 5, og den fratog hende derved retten til at fremsætte et retskrav med henblik på at inddrive det svindlede beløb. Efter betalingsloven er banken ansvarlig for det tab, hun er blevet påført.
Hun bad banken kontakte politiet, men banken svarede, at det ikke var dens pligt.
Hun besøgte personligt virksomhed C’s kontor i Malmø tre gange for at finde ud af, hvad der var blevet betalt for med hendes Visa/Dankort. Hun modtog aldrig et svar om, i hvis navn billetten var købt. Hun blev blot rådet til at kontakte sin bank og politiet.
Banken informerede hende ikke om, at den blot 18 dage før svindlen foretog ændringer i Regler for Visa/Dankort.
Danske Bank har til støtte for frifindelsespåstanden anført, at klageren via phishing kom til at foretage og godkende betalingen selv, hvorfor forholdet er omfattet af betalingslovens § 100, herunder stk. 4, omhandlende klagerens egenhæftelse på 8.000 DKK.
Betalingen blev godkendt med klagerens MitID-app, som er en personlig sikkerhedsforanstaltning jf. betalingslovens § 7, nr. 31, hvormed betalingen blev korrekt godkendt med stærk kundeautentifikation jf. betalingslovens § 7, nr. 30.
Betalingen blev godkendt med klagerens MitID-app, hvori det klart og tydeligt fremgik for klageren, at betalingsmodtageren var betalingsmodtager B, og at beløbet var 6.881 NOK (svarende til 4.894,99 DKK). Klageren kom selv til at godkende betalingen. Hun burde have læst teksten i forbindelse med godkendelsen og burde dermed have undladt at godkende betalingen.
Betalingen er i øvrigt korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98.
Klageren burde have været mere skeptisk over for de modtagne e-mails, der ikke fremstår som troværdige, eksempelvis i afsendermailadresse, afsendernavn, i sprogbruget og i linket. Hvis klageren havde udvist en større grad af forsigtighed, eksempelvis ved at læse teksten i MitID-app’en, og havde hun været mere skeptisk over for de modtagne e-mails, så havde betalingen været forhindret.
Klageren befandt sig ikke i en presset situation svarende til eksempelvis den situation, hvor misbrug sker i forbindelse med en telefonisk henvendelse. Klageren muliggjorde således ved groft uforsvarlig adfærd betalingen, hvorfor hun bør hæfte med 8.000 DKK selv, jf. betalingslovens § 100, stk. 4.
Klageren gør gældende, at banken burde have stoppet betalingen egenhændigt eller have kontaktet betalingsmodtageren, idet betalingen blev foretaget den 19. november 2022, men først bogført på hendes konto den 22. november 2022. Med henvisning til betalingslovens § 111 gøres det gældende, at banken ikke havde mulighed for at stoppe betalingen, idet betalingen blev godkendt, herunder at banken modtog betalingsordren, allerede den 19. november 2022.
Til støtte for afvisningspåstanden gør banken gældende, at en vurdering af sagen vil kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Den 19. november 2022 blev der med klagerens Visa/Dankort foretaget en transaktion på 6.881 NOK svarende til 4.894,99 DKK, som klageren ikke kan vedkende sig. Beløbet blev bogført og trukket fra klagerens konto den 22. november 2022.
Om baggrunden for transaktionen har klageren oplyst, at hun modtog en e-mail, der fremstod som værende fra SKAT, hvoraf fremgik, at hun var berettiget til skatterefusion. Hun udfyldte ansøgningen om skatterefusion i e-mailen ”med beskyttelse af MitID”.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet finder, at det som anført af banken må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).
Tre medlemmer – Henrik Waaben, Karin Duerlund og Andreas Moll Årsnes – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 6.881 NOK i sin MitID-app. Vi finder, at klageren ved at indtaste oplysninger og ved efterfølgende at godkende med MitID ved groft uforsvarlig adfærd har muliggjort transaktionen, og at klageren som følge heraf hæfter med op til 8.000 DKK, selv om det må lægges til grund, at hun har været udsat for phishing.
Vi har herved blandt andet lagt vægt på, at klageren burde have reageret på teksten i MitID-appen, hvor hun fik oplysninger om beløbet på 6.881 NOK og beløbsmodtager.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Jacob Ruben Hansen og Anna Marie Schou Ringive – udtaler:
Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 4.519,99 DKK til klageren.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.