Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 kr. af korttransaktion, der blev gennemført som en 3D Secure transaktion ved godkendelse i NemID-nøgleapp.

Sagsnummer: 443/2022
Dato: 13-06-2023
Ankenævn: Vibeke Rønne, Jonas Thestrup Nielsen, Jimmy Bak, Tina Thygesen og Finn Borgquist.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 kr. af korttransaktion, der blev gennemført som en 3D Secure transaktion ved godkendelse i NemID-nøgleapp.
Indklagede: Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktion, der blev gennemført som en 3D Secure transaktion ved godkendelse i NemID-nøgleapp.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor han og hans ægtefælle blandt andet havde en fælleskonto, hvortil de hver især havde tilknyttet individuelle Visa/dankort.

Den 4. september 2022 blev klagerens Visa/dankort anvendt til en betaling til en udenlandsk betalingsmodtager, F, på 12.798 kr., som klageren ikke kan vedkende sig.

Klageren har fremlagt en mail sendt til ham den 31. august 2022, der fremstod som værende fra Sygeforsikringen Danmark. Mailen havde følgende tekst:

”Hej,

Efter de sidste årlige beregninger af regnskabsåret for din aktivitet, har vi fastslået, at du er berettiget til en

tilskud på 3,405.65 kr.

Refusionsdetaljer:

----------------------------------

Reference: [referencenummer]

Beløb: 3,405.65 kr.

----------------------------------

For at acceptere hurtig betaling online skal du klikke på følgende link og vælge en tilbagebetalingsmetode.

Få adgang til formularen

Klageren har oplyst, at han klikkede på linket til formularen og udfyldte den med sine kortoplysninger.

Banken har oplyst, at betalingen med klagerens Visa/dankort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i klagerens NemID-nøgleapp, der blev installeret på klagerens telefon den 21. maj 2019. Der var ikke efterfølgende blevet tilføjet yderligere enheder til NemID-nøgleappen. Det fremgår af en udskrift fra Nets, at følgende tekst blev sendt til klagerens NemID-nøgleapp:

”Betal 12798,00 DKK til [F] fra kort xx8978”

Den 6. september 2022 opdagede klageren, at der var trukket 12.798 kr. på hans konto til F, der var en svensk rejsearrangør. Samme dag gjorde klageren over for banken indsigelse mod betalingen og anførte, at han ikke havde godkendt betalingen.

Banken godtgjorde klagerens tab fratrukket 8.000 kr. svarende til 4.798 kr.

Parternes påstande

Den 25. oktober 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal godtgøre ham hele transaktionen og dermed tilbagebetale 8.000 kr. til ham.

Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at han ikke har set nogen betalingsanmodning eller har godkendt noget beløb til betaling mellem den 31. august 2022, hvor han udfyldte kortoplysningerne og den 6. september 2022, hvor han konstaterede, at beløbet var trukket. Han har således aldrig set beløbet eller godkendt beløbet på 12.798 kr. til betaling, førend det blev trukket på hans konto.

Hvis det kan påvises, at han har set beløbet på 12.798 kr. for derefter at godkende betalingen til det svenske rejsebureau F ved anvendelse af NemID-nøgleapp via hans telefon, er det dybt rystende for sikkerheden. Han har aldrig godkendt nogen betaling endsige været i nærheden af sin NemID-nøgleapp i forbindelse med de rapporterede hændelser.

Han tolker det af Danske Bank beskrevne hændelsesforløb således, at det IT-systemmæssigt må være muligt - ved hans udfyldelse af den fra Sygeforsikringen Danmark fremsendte ”formular” med kortoplysninger - at stjæle data og sikre adgange, der gør det af banken beskrevne hændelsesforløb realiserbart ved tredjepart.  

Banken må bære ansvaret for, at systemet svigter og for at hans fejlagtige indrapportering af kortoplysninger til den falske formular har muliggjort betalingen. Han er derfor berettiget til fuld erstatning.

Danske Bank har til støtte for frifindelsespåstanden anført, at klageren selv har videregivet sine kortoplysninger til tredjemand, hvilket muliggjorde betalingsanmodningen.

Betalingen blev godkendt med klagerens NemID-nøgleapp og er dermed godkendt med stærk kundeautentifikation.

NemID-nøgleappen var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen. Det må på den baggrund lægges til grund, at klageren uforvarende selv har godkendt betalingen

Betalingen var korrekt registreret og bogført og var ikke ramt af tekniske svigt eller andre fejl.

Det fremgik af godkendelsesteksten i klagerens NemID-nøgleapp, at betalingsmodtageren var F, og at beløbet var 12.798 kr., som ville blive trukket fra klagerens Visa/dankort Det måtte således være klart for klageren, at han var ved at foretage en betaling på 12.798 kr. til en ukendt modtager og ikke var ved at modtage et beløb fra Sygeforsikringen Danmark.

Klageren burde have undersøgt rigtigheden af mailen, hvor Sygeforsikringen Danmark fremstod som afsender med oplysning om, at klageren havde et beløb til gode til udbetaling.

Klageren befandt sig ikke i en presset situation ved udlevering af sine kortoplysninger og godkendelse af betalingen.

Klageren muliggjorde betalingen ved groft uforsvarlig, hvorfor han hæfter med 8.000 kr., jf. betalingslovens § 100, stk. 4.

Banken har allerede godtgjort klageren den del af beløbet, der overstiger 8.000 kr.

Banken har i øvrigt ikke handlet ansvarspådragende.

Til støtte for afvisningspåstanden har banken anført, at klagerens påstand om, at han ikke foretog betalingen, ikke hænger sammen med det faktiske hændelsesforløb, herunder at betalingen blev autoriseret med klagerens NemID-nøgleapp, som var installeret på hans telefon, der var i hans besiddelse på tidspunktet for godkendelse af betalingen.

En vurdering af sagen vil derfor kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Den 4. september 2022 blev klagerens betalingskort anvendt til en betaling til en betalingsmodtager, F, på 12.798 kr., som klageren ikke kan vedkende sig.

Klageren har oplyst, at baggrunden for betalingen var, at han den 31. august 2022 modtog en mail, der fremstod som værende fra Sygeforsikringen Danmark. Af mailen fremgik, at han havde et beløb til gode hos sygeforsikringen. Mailen indeholdt et link til en formular, som han åbnede og udfyldte med sine kortoplysninger.

Klageren har anført, at han ikke godkendte nogen betaling i sin NemID-nøgleapp. Banken har anført, at klageren godkendte transaktionen i sin NemID-nøgleapp.

Klageren gjorde indsigelse mod transaktionen over for banken, der godtgjorde klageren 4.798 kr., svarende til det betalte beløb fratrukket 8.000 kr.

Banken har oplyst, at den omtvistede betaling med klagerens betalingskort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp. Af en udskrift fra Nets fremgår, at følgende tekst blev sendt til klagerens NemID-nøgleapp: ” ”Betal 12798,00 DKK til [F] fra kort xx8978”.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder endvidere, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Vibeke Rønne, Jonas Thestrup Nielsen og Jimmy Bak – udtaler:

Vi finder det godtgjort, at klageren har godkendt betalingen på 12.798 kr. i sin Nem-ID-nøgleapp. Vi har herved lagt vægt på, at transaktionen er godkendt i den Nem-ID-nøgleapp, som er installeret på klagerens mobiltelefon den 21. maj 2019, at der ikke er tilføjet yderligere enheder til NemID-nøgleappen, og at teksten, som klageren swipede i sin nøgleapp, var ”Betal 12798,00 DKK til [F] fra kort xx8978”.

Vi finder, at banken herved har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i NemID-nøgleappen. Som følge heraf hæfter klageren med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Tina Thygesen og Finn Borgquist – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr., jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.