Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod transaktion, der blev gennemført som en ”3D Secure” betaling

Sagsnummer: 42/2019
Dato: 22-01-2020
Ankenævn: Vibeke Rønne, Jesper Claus Christensen, Kristian Ingemann Petersen, Ida Marie Moesby, Lisbeth Baastrup Burgaard.
Klageemne: Betalingstjenester - fjernsalgstransaktioner
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst: Indsigelse mod transaktion, der blev gennemført som en ”3D Secure” betaling
Indklagede: Sparekassen Vendsyssel
Øvrige oplysninger: OF
Senere dom:
Pengeinstitutter

Klager medhold.

Indledning

Sagen vedrører indsigelse mod en korttransaktion, der blev gennemført som en ”3D Secure” betaling.

Sagens omstændigheder

Klageren var kunde i Dronninglund Sparekasse (nu Sparekassen Vendsyssel), hvor han havde en konto med et tilknyttet Visa/dankort.

Den 13. januar 2018 tilmeldte klageren sit kort til ”Verified by Visa”, som er en 3D-Secure sikkerhedsløsning.

Af en transaktionsliste indhentet via Nets fremgik, at der den 10. oktober 2018 kl. 08:08:29 via internettet blev gennemført et køb på 2.106 EUR hos en udenlandsk elektronikforretning, F, med klagerens Visa/dankort.  

Det fremgik af udskrifter fra Nets, at der den 10. oktober 2018 kl. 08:07:50 var blevet sendt en engangskode til klagerens telefonnummer, og at købet blev gennemført ved indtastning af engangskoden.

Sparekassen har oplyst, at SMS-teksten sendt til klagerens telefonnummer var følgende:

”Din engangskode er: [kode] til dit køb på [beløb] hos [forretningsnavn]. Er du ikke i gang med online handel, spær straks kortnummer [de sidste fire cifre i kortnummeret].”

Det fremgik endvidere af en af sparekassen fremlagt oversigt indhentet via Nets over ”Processing Details”, at ”Purchase Description” var ”Ronin-M, Osmo, Mobile 2, Ronin-S”.

Den 10. oktober 2018 kl. 16:55 spærrede klageren sit Visa/dankort.

Den 17. oktober 2018 blev der trukket et beløb på 15.872,04 kr. på klagerens konto i sparekassen.

Den 2. november 2018 indgav klageren politianmeldelse.

Den 7. december 2018 gjorde klageren over for sparekassen indsigelse mod transaktionen.

Sparekassen videresendte indsigelsen til Nets, men Nets afviste at erstatte beløbet, da Nets ikke dækkede transaktioner, hvor der var anvendt 3D-Secure.

Den 25. januar 2019 indbragte klageren sagen for Ankenævnet.

Under sagens forberedelse bad Ankenævnets sekretariat sparekassen om – eventuelt efter indhentelse af samtykke hertil fra klageren – via Nets eller på anden måde forsøge at indhente oplysninger fra betalingsmodtageren om, hvem der havde afgivet ordren (herunder mailadresse), og til hvem og hvortil varen var sendt.

Sparekassen oplyste den 3. december 2019, at det ikke var muligt at indhente de pågældende oplysninger fra F. Den havde indhentet fuldmagt hos klageren til indhentning af oplysninger hos bl.a. Nets og havde kontaktet Nets, som forsøgte at få yderligere oplysninger hos F, men F havde ikke svaret. F havde tidligere oplyst, at forretningen ikke kunne se oplysninger længere end seks måneder tilbage i tid.

Af sparekassens Regler for Visa/Dankort gældende fra den 1. oktober 2018 fremgik blandt andet:

3.5 Brug af kortnumme, udløbsdato og kontrolcifre

Når du benytter kortet til køb fx via internettet, skal du oplyse kortnummer, kortets udløbsdato og kontrolcifre.

Hvis forretningen er tilmeldt "Verified by Visa" eller "Dankort Secured by Nets" (se afsnit 6), skal du derudover indtaste den engangskode du vil modtage via SMS i forbindelse med købet. Denne kode er forretningens sikkerhed for, at det er kortholder, der har kortet, når der betales.

6. Sikre internetbetalinger

"Verified by Visa" og "Dankort Secured by Nets" er en ekstra beskyttelse mod misbrug af kortdata ved handel på internettet.

Beskyttelsen består i, at du ved køb på internettet efter indtastning af kortoplysninger skal benytte en engangskode, som du modtager fra Nets via SMS i forbindelse med betalingen. …

6.2 Sikkerhed - kort og telefon

Da din mobiltelefon bliver en del af sikkerheden ved internetkøb i fonetninger, der benytter "Dankort Secured by Nets" eller "Verified by Visa", skal du sikre, at andre ikke har eller kan få uhindret adgang til både dit kort og din mobiltelefon. Vi anbefaler derfor, at du anvender en kode til din mobiltelefon. …”

Parternes påstande

Klageren har nedlagt påstand om, at Sparekassen Vendsyssel skal tilbageføre den ikke vedkendte hævning.

Sparekassen Vendsyssel har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han ikke kan vedkende sig den omtvistede transaktion.

Han har aldrig handlet hos F eller været inde på F’s hjemmeside. Han har heller ikke indtastet en SMS-engangskode i forbindelse med et køb.

Han fik en SMS vedrørende købet den 10. oktober 2018 om morgenen. Han så først SMS’en om eftermiddagen, da hans telefon var sat på lydløs. Så snart han så SMS’en, spærrede han øjeblikkelig sit kort.

Det bestrides, at han har oplyst til sparekassen, at han så SMS’en om morgenen den 10. oktober 2018.

Sparekassen Vendsyssel har anført, den ikke er forpligtet til at tilbageføre beløbet, idet den omtvistede transaktion er godkendt af klageren med en SMS-kode sendt til hans mobiltelefon (3D-Secure/Verified by Visa).

Den fremsendte kode blev anvendt 1 minut og 30 sekunder efter fremsendelsen til klagerens mobiltelefon. Klageren har bekræftet, at han modtog koden, og ifølge det oplyste har han hele tiden været i besiddelse af sin mobiltelefon.

Klageren spærrede først sit kort ca. otte timer efter modtagelsen af SMS-koden på trods af, at han over for sparekassen har oplyst, at han så SMS-koden allerede om morgenen. Dette understøttes af et internt notat i sparekassen.

Ankenævnets bemærkninger

Ankenævnet lægger til grund, at den omtvistede betaling på klagerens betalingskort på 15.872,04 kr. skete ved brug af kortnummer, udløbsdato og det trecifrede sikkerhedsnummer samt ved brug af sikkerhedsløsningen 3D-Secure ved anvendelse af en SMS-engangskode sendt til klagerens telefonnummer.

Ankenævnet lægger endvidere til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Betalingen skete til betalingsmodtageren F, der efter det oplyste er en udenlandsk elektronikforretning.

Klageren har bestridt at have anvendt den pågældende SMS-kode. Klageren har anført, at han ikke har kendskab til F eller til det pågældende køb, og klageren har anmeldt forholdet til politiet.

Det har under sagens forberedelse i Ankenævnet ikke været muligt for sparekassen - efter indhentelse af fuldmagt hertil fra klageren - via Nets eller på anden måde at indhente nærmere oplysninger fra F om, hvem der havde givet ordren, og til hvem og hvortil varen var sendt. F har tidligere oplyst, at forretningen ikke kan se oplysninger længere end seks måneder tilbage i tid.  

Ankenævnet finder ikke grundlag for at betvivle klagerens oplysninger og finder det herefter godtgjort, at transaktionen skyldes tredjemands misbrug/uberettigede anvendelse af klagerens Visa/dankort, og at misbruget også omfatter SMS-koden. Det bemærkes herved, at Ankenævnet finder, at sparekassen er nærmest til at bære risikoen for, at det på nuværende tidspunkt ikke er muligt at få oplysninger fra F om købet.

Tre medlemmer – Vibeke Rønne, Ida Marie Moesby og Lisbeth Baastrup Burgaard udtaler:

Vi finder ikke grundlag for at fastslå, at klageren kunne have opdaget misbruget forud for den uberettigede anvendelse. Klageren hæfter derfor ikke for transaktionen, jf. betalingslovens § 100, stk. 8.

Vi stemmer derfor for, at Sparekassen Vendsyssel skal godtgøre klageren 15.872,04 kr.

To medlemmer – Jesper Claus Christensen og Kristian Ingemann Petersen – udtaler:

Vi finder, at klageren bør hæfte efter lov om betalinger § 100, stk. 3, med 375 kr., idet det kunne forventes, at klageren havde opdaget misbruget ved at reagere på SMS’en om morgenen. Vi finder derfor ikke, at § 100, stk. 8, kan anvendes i denne sag.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Sparekassen Vendsyssel skal inden 30 dage til klageren betale 15.872,04 kr. med valør fra datoen for debitering af transaktionen.

Klageren får klagegebyret tilbage.