Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse vedrørende kortbetaling. Aktivering af ny NemID-nøgleapp på svindlerens enhed.

Sagsnummer: 461/2022
Dato: 13-06-2023
Ankenævn: Vibeke Rønne, Jonas Thestrup Nielsen, Jimmy Bak, Tina Thygesen og Finn Borgquist.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse vedrørende kortbetaling. Aktivering af ny NemID-nøgleapp på svindlerens enhed.
Indklagede: Middelfart Sparekasse
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse vedrørende kortbetaling. Aktivering af ny NemID-nøgleapp på svindlerens enhed.

Sagens omstændigheder

Klageren var kunde i Middelfart Sparekasse, hvor han havde en konto med tilhørende Visa/Dankort -053.

Den 21. juni 2022 blev der foretaget en betaling med klagerens betalingskort på 1.500 EUR, svarende til 11.326,86 DKK, til en betalingsmodtager, A, som klageren ikke kan vedkende sig.

Om baggrunden for betalingen har klageren anført, at han var udsat for phishing og kortsvindel i forbindelse med en internethandel, at han ikke selv foretog betalingen, at han ikke handlede med betalingsmodtageren, og at han ikke oplyste pinkoder, SMS-koder, CPR-nummer eller andre informationer, ud over dem som man gør, når man bruger sit kreditkort.

Sparekassen har anført, at klageren i forbindelse med den uautoriserede transaktion videregav sine kortoplysninger, herunder CVC til svindleren, og at klageren benyttede sin NemID-nøgleapp til at godkende oprettelsen af endnu en NemID-nøgleapp.

Sparekassen har anført, at klagerens videregivelse af oplysningerne gjorde det muligt for svindleren at foretage transaktioner med klagerens betalingskort, og at svindleren forsøgte at foretage en netbankoverførsel på 5.000 EUR.

Klageren har anført, at han omgående ringede til sparekassen for at få betalingskortet spærret. Klageren har fremlagt en opkaldsoversigt, hvor det fremgår, at klageren var i kontakt to gange med et nummer med landekode +31, med et telefonnummer tilhørende kundeservice hos Gul og Gratis og med to telefonnumre, som var kodet ind på klagerens telefon som to medarbejdere fra sparekassen.

Klageren gjorde indsigelse mod korttransaktionen. I indsigelsesblanketten anførte klageren blandt andet, at han havde en lampe til salg på Gul og Gratis, at en person, P, henvendte sig og ville købe den for 600 DKK ved pakkepost pickup fra klagerens adresse, og at klageren opgav sit kontonummer til P. Klageren anførte endvidere, at han ikke havde foretaget transaktionen, og svarede bekræftende på spørgsmålet om han på noget tidspunkt var blevet kontaktet og bedt om at bekræfte eller oplyse sit betalingskort eller sine personlige oplysninger, og angav, at dette skete via telefon. Klageren oplyste desuden, at:

”Svindler har tirsdag 21. juni 2022 købt for 500 Euro i en Singapore Bitcoin forretning Ascendex.com fra uretmæssig tilgang fra min privatkonto i MidSpar. Har ikke givet ham mere information end enhver kan læse sig til på hvilket som helst Visa / Dankort. Jeg gjorde straks og uden ophold påråb om svindel, og fik spærret mit bank, og NemID m.m. Kl. 14.26 løb der besked ind fra Nets jeg skulle godkende beløbet som jeg aldrig har gjort.”

Sparekassen har fremlagt en beskrivelse af processen vedrørende oprettelse af en NemID-nøgleapp på en ny enhed, hvoraf det blandt andet fremgår, at svindleren installerer en ny NemID-nøgleapp ved hjælp af en kundes personlige oplysninger, som svindleren indtaster i den nye NemID-nøgleapp, hvorefter der bliver sendt en godkendelsesanmodning til en kundes NemID, hvoraf det fremgår, at man er ved at godkende en ny NemID-nøgleapp, og at man efter godkendelsen skal afvente en time før man igen skal godkende aktiveringen af den nye NemID-nøgleapp med NemID-nøgleappen.

Sparekassen har fremlagt en udskrift af sit interne logsystem, hvoraf det blandt andet fremgår:

”2022-06-21 / [Rådgiver]

[Rådgiver] ringede til kunden vedr. overførslen 5.000 EUR på baggrund af den blacklistede ovf. mail. Det kendte kunden ikke noget til, og var lidt tilbageholdende med at give oplysninger. Jeg spurgte lidt ind til, om han havde været ude for noget mistænkeligt - han havde været ved at sælge en lampe på gul og gratis, og havde i den forbindelse oplyst kortnr., så køber kunne betale ham. Derudover nævnte han noget med, at han havde fået nogle meddelelser om, at han skulle opdatere Middelfart Sparekasse app, hvilket han havde gjort + han havde skulle godkende sit kort til at kunne modtage betalinger på via NemID - det havde han også gjort. Han var blevet mistænksom, og havde selv kontaktet MS og fået spærret kortet. Han nævnte bl.a. at han undrede sig over købers oplysninger. Han kunne ikke finde ham eller adressen mv.

[Rådgiver] har spærret NemID nøgleapp, der var blevet oprettet for nyligt. + nøglekort + adgangskode. Bedt kunden om at kontakte MitID support og hotline for id-tyveri. Det vil han gøre.

2022-07-01 / [Rådgiver]

Ifølge NemID loggen fremgår det, at kunden med sin eksisterende NemID app (6453) har godkendt oprettelse af en ny NemID app (0637) på en anden device samme dato og lige forud for gennemførelse af korttransaktionerne.”

Sparekassen har tilbageført klagerens tab fratrukket 8.000 DKK.

Parternes påstande

Den 3. november 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Middelfart Sparekasse skal tilbageføre tabet.

Middelfart Sparekasse har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han var udsat for svindel, hvor hans oplysninger måske blev phishet i forbindelse med en internethandel, at han ikke selv foretog en betaling, og at han ikke købte Bitcoins eller andet.

Han udleverede ikke sin pinkode, SMS-kode eller CPR-nummer og kode til NemID-login til nogen.

Sparekassen reagerede meget langsomt på hans henvendelse vedrørende mistanke om svindel, som han foretog inden svindlen var sket. Sparekassen muliggjorde dermed betaling af 1.500 EUR til en betalingsmodtager i udlandet, som han hverken handlede med eller havde besøgt. Overførslen blev foretaget til en forretning i Singapore, der overvejende tilbyder Bitcoins, spil og væddemål, herunder kasinoer.

Sparekassen kunne have stoppet overførslen, da han kontaktede sparekassen med henblik på at spærre kortet, hvor han blev oplyst, at der ingen skade var sket. Han bad om at få spærret alle sine kort, men sparekassen reagerede ikke hurtigt nok, og svindlen blev gennemført. Sparekassen hæfter for al misbrug, der er sket, efter at han gav sparekassen besked om at kortet ønskedes spærret.

Sparekassen har overtrådt reglerne for maksimumbeløb på 5.000 DKK pr. døgn til denne type forretninger og maksimumbeløb på 2.000 DKK pr. døgn for udbetaling af kontanter i udenlandsk valuta, hvorfor der ikke kan trækkes 1.500 EUR fra hans konto.

Sparekassen giver ham ikke mulighed for at lukke af for alle transaktioner uden for EU.

Svindleren har misbrugt hans Visa/Dankort uden at have brugt hans pinkode, så han skal ikke betale en selvrisiko på 8.000 DKK.

Sparekassen har ikke godtgjort, at den personlige sikkerhedsforanstaltning blev anvendt ved transaktionen.

Middelfart Sparekasse har anført, at klageren i forbindelse med den uautoriserede transaktion videregav sine fortrolige kortoplysninger, herunder CVC til svindleren, og at klageren brugte sin NemID-nøgleapp til at godkende endnu en NemID-nøgleapp, formentlig på svindlerens telefon, hvilket muliggjorde det for svindleren at foretage transaktioner med klagerens kort. Svindleren har ligeledes modtaget klagerens CPR-nummer og kode til NemID-login, som er en forudsætning for at logge på netbank, idet svindleren forsøgte at foretage en netbankoverførsel på 5.000 EUR, som blev autoblokeret, da modtagerkontoen var blacklistet.

Svindlerens forgæves forsøg på at foretage en netbankoverførsel på 5.000 EUR indikerer, at svindleren ligeledes modtog klagerens CPR-nummer og kode til NemID-login, idet disse oplysninger var en forudsætning for at kunne logge ind på klagerens netbank.

Sparekassen kunne ikke stoppe betalingen på 11.326,86 DKK, da den allerede var gennemført, da klageren kontaktede sparekassen med henblik på at få spærret sit kort. Betalingen var ikke posteret på klagerens konto, hvorfor sparekassens rådgiver fejlagtigt oplyste, at der ikke var sket nogen skade. Sparekassen kontaktede efterfølgende klageren, idet den registrerede en overførsel på kundens konto på 5.000 EUR.

Det fremgår tydeligt af den fremlagte proces for oprettelse af en NemID-nøgleapp på en anden enhed, at kunden formentlig på en falsk hjemmeside eller lignende loggede ind med NemID-nøgleapp og i den forbindelse videregav de fortrolige oplysninger til svindleren, hvorefter klageren ad to omgange med en times mellemrum godkendte aktiveringen af en ny NemID-nøgleapp. Begge gange fremgik det tydeligt, at klageren var ved at aktivere en ny NemID-nøgleapp.

Sparekassen er ikke bekendt med maksimumbeløb ved brug af kort på 5.000 DKK pr. døgn, som sparekassen skulle have overtrådt. Eventuelle grænser for maksimum udbetaling af kontanter i udenlandske valuta er ikke relevant i denne sag.

På baggrund af klagerens videregivelse af kortoplysninger og godkendelse via NemID-nøgleappen har klageren ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse og hæfter med 8.000 DKK.

Sparekassen har tilbageført klagerens tab fratrukket 8.000 DKK.

Ankenævnets bemærkninger

Klageren var kunde i Middelfart Sparekasse, hvor han havde en konto med tilhørende Visa/Dankort -053.

Den 21. juni 2022 blev der foretaget en betaling med klagerens betalingskort på 1.500 EUR, svarende til 11.326,86 DKK, til en betalingsmodtager, A, som klageren ikke kan vedkende sig.

Om baggrunden for betalingen har klageren oplyst, at han var udsat for phishing og kortsvindel i forbindelse med en internethandel, hvor han ville sælge en lampe på Gul og Gratis, at han ikke selv foretog betalingen, og at han ikke oplyste pinkoder, SMS-koder, CPR-nummer, kode til NemID-login eller andre informationer, ud over dem, man gør, når man bruger sit kreditkort.

Sparekassen har anført, at klageren i forbindelse med den uautoriserede transaktion videregav sine kortoplysninger, herunder CVC til svindleren, at svindleren har modtaget klagerens CPR-nummer og kode til NemID-login, idet dette er en forudsætning for at logge på netbank, og at klageren benyttede sin NemID-nøgleapp til at godkende oprettelsen af endnu en NemID-nøgleapp, formentlig på svindlerens telefon.

Sparekassen har tilbageført klagerens tab fratrukket 8.000 DKK.

Ankenævnet lægger til grund, at betalingen er korrekt registreret og bogført uden tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1, og at der er anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. § 100, stk. 4, nr. 3.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Tre medlemmer – Vibeke Rønne, Jonas Thestrup Nielsen og Jimmy Bak – udtaler:

Vi finder, at en afklaring af sagens nærmere omstændigheder, herunder om klageren ved groft uforsvarlig adfærd muliggjorde transaktionen og dermed hæfter med 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3, forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Vi stemmer derfor for at afvise sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

To medlemmer – Tina Thygesen og Finn Borgquist – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr., jf.  betalingslovens § 100, stk. 3. 

Vi stemmer derfor for, at banken skal tilbageføre 7.625 kr. til klageren. 

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.