Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for korttransaktioner. Installation af NemID-nøgleapp på svindlers enhed/device.

Sagsnummer: 435/2022
Dato: 13-06-2023
Ankenævn: Vibeke Rønne, Jonas Thestrup Nielsen, Jimmy Bak, Tina Thygesen og Finn Borgquist.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for korttransaktioner. Installation af NemID-nøgleapp på svindlers enhed/device.
Indklagede: Jyske Bank
Øvrige oplysninger: OF
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for korttransaktioner. Installation af NemID-nøgleapp på svindlers enhed/device.

Sagens omstændigheder

Klageren var kunde i Jyske Bank, hvor hun havde en konto med et tilknyttet Visa/debitkort og en konto med et tilknyttet Visa/dankort.

Den 9. september 2022 kl. 08:58 og 09:14 blev klagerens Visa/dankort og klagerens Visa/debitkort anvendt til to betalinger på hver 525 EUR, i alt 1.050 EUR (svarende til i alt 7.925,86 DKK) til en beløbsmodtager, C, som klageren ikke kan vedkende sig. Af en udskrift fra Nets og bankens system fremgår, at de to korttransaktioner blev gennemført med sikkerhedsløsningen ”3-D Secure Fuld” og med NemID.

Om baggrunden for transaktionerne har klageren oplyst, at hun havde en vare til salg via Den Blå Avis. Hun blev kontaktet af en person, der foregav at ville købe varen, og som ønskede at benytte Post Nord fragt, hvor klageren skulle udfylde nogle oplysninger, hvilket klageren gjorde. Det viste sig efterfølgende, at hun i forbindelse med dette fik installeret en NemID-nøgleapp på svindlerens enhed.

Den 12. og 13. september 2022 blev betalingerne debiteret på klageren konto. Klageren indgav indsigelser til banken. I forbindelse med indsigelserne anførte klageren:

”… Den 080922 om aftenen satte jeg en North Face jakke til salg på Den Blå Avis. Jeg fik meget hurtig henvendelser fra flere interesseret købere, en via den Blå Avis, og 5 via Whatsapp. Jeg skrev efterfølgende med en kvinde på dansk via Whatsapp som skrev, at hun gerne ville have varen sendt til Jylland, så om vi kunne lave en aftale via Post Nord med fragt firma, hvor hun bestilte en levering og efterfølgende sendte mig et link, hvor jeg skulle skrive mine oplysninger, hvorefter pengene jeg solgte jakken for, ville gå ind på min konto inden jakken blev afsendt, og at det var sikre for os begge 2. Det er længe siden, at jeg har benyttet DBA, så troede at det var en ny måde at gøre det på, men kan nu se, at jeg er blevet snydt.

Jeg indtastede mine oplysninger, navn, telefonnummer, kortnummer, måned/år og sc koden på de 3 cifre, hvorefter jeg godkendte med NemID (hvilke jeg også efterfølgende tror er fake), for når jeg efterfølgende tænker nærmere over det, var der et ”felt” hen over Nemid feltet, som man skulle trykke på. Jeg benyttede fingertouch for godkendelse, men har nu ændret min kode til Nemid, da jeg jo har tastet den i feltet.

 

Efter jeg havde indtastet ovenstående, stod der at der var sket en fejl, og jeg skulle vente 60 minutter før jeg forsøgte igen. Da det var blevet sent, skrev jeg til hende jeg handlede med, at vi måtte vente til dagen efter. Om aftenen benyttede jeg et andet kort (VisaDankort) end det, som blev misbrugt, men jeg har efterfølgende fået oplyst af Jyske Bank, at NETS havde spærret dette VisaDankort, da de var blevet mistænkelige over en transaktion på ca. 700 kr., som derfor blev afvist af NETS.

Om morgenen den 090922 skulle jeg bestille nogle sko på en hollandsk hjemmeside … Jeg har selv godkendt beløbet på de 1.008 kr., da det er et køb, som jeg har foretaget.

Inden jeg bestilte skoene skrev jeg med hende der skulle købe jakken på DBA. Jeg udfyldte oplysningerne på ny, idet det ikke var muligt aftenen før. Denne gang brugte jeg mit Visa debit kort, da jeg troede, at det ikke havde virket med mit VisaDankort aftenen forinden.

Da jeg havde bestilt og betalt skoene, kom der pludselig en besked fra Nemid om, at jeg skulle godkende et beløb på 315 euro. Dette beløb afviste jeg, ved at trykke AFVIS oppe i venstre hjørne. Ikke så længe efter kom der igen en besked fra Nemid, at jeg skulle godkende et beløb på 525 euro, og da jeg vidste, at jeg heller ikke havde købt noget på det beløb, trykkede jeg også AFVIS i venstre hjørne på denne besked, hvilket en af mine kollegaer endda overværede.

Kort efter jeg havde trykket afvis til beløbet på de 525 euro, fik jeg en [pop up] fra Jyske Bank om, at jeg havde foretaget en hævning på 525 euro. Jeg ringede med det samme til Jyske Bank  kundeservice i håb om, at i kunne nå at stoppe transaktionen, samt få spærret kortet. …

Jeg har efterfølgende været inde på DBA og læst en advarsel omkring, at der er snyd på Whatsapp, hvor man skal klikke på et link for at godkende fragt med Post Nord, hvor man efterfølgende får overført salgsbeløbet til sin konto. Det er desværre det, som jeg har gjort, hvorfor hævningen på de 525 euro er foretaget og et beløb på 3.962,93 dk kr. blev trukket i dag den 120922 af noget der hedder, [C, Storbritannien], hvilket jeg intet kender til. …”

Banken svarede, at klageren havde været udsat for phishing, men at klageren selv hæftede for 8.000 DKK, og at banken derfor ikke ville tilbageføre betalingerne.

Banken har oplyst, at de to betalinger blev godkendt i NemID-nøgleapp med serienummer -3428, som var installeret den 8. september 2022, aktiveret den 9. september 2022 og spærret den 9. september 2022, og at betalingerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.

Banken har om fremgangsmåden for installation af en ny/anden NemID-nøgleapp oplyst, at først skal NemID-nøgleappen installeres på den nye/anden enhed og dernæst aktiveres. Installation sker i NemID fra den enhed, hvor NemID-nøgleappen allerede er installeret. Herefter skal der af sikkerhedsmæssige årsager gå mindst en time, før man kan aktivere den nye/anden enhed NemID-nøgleapp. Aktiveringen af den nye/anden nøgleapp skal godkendes med NemID. Dette skal ligeledes ske i NemID fra den enhed, hvor NemID-nøgleappen allerede er installeret. Herefter er NemID-nøgleappen installeret og aktiveret på den nye/anden enhed og klar til brug og godkendelse af handlinger, herunder betalinger.

Banken har til illustration lavet en oversigt/beskrivelse af processn for installation og aktivering af NemID-nøgleapp på en ny enhed, herunder de skærmbilleder, man bliver præsenteret for i forløbet, på den enhed, hvor NemID-nøgleappen allerede er installeret (klagerens) og på den nye enhed (svindlerens). Det fremgår heraf, at der vises følgende tekster to gange med minimum en times mellemrum på den enhed, hvor NemID-nøgleappen allerede er installeret:

”Godkend følgende?

Aktivering af ny nøgleapp”

Klageren har anført, at hun hverken kan be- eller afkræfte, om der stod “Godkend følgende? Aktivering af ny nøgleapp”, da det ikke var noget, som hun bemærkede. Hun kan dog oplyse, at hun ikke har godkendt i et billede, der ser ud som den af Jyske Bank fremlagte illustration.

Banken har endvidere redegjort for oplysninger hentet fra klagerens NemID-log den 19. september 2022 i forbindelse behandling af indsigelsen. Banken har oplyst, at der pr. denne dag var registreret to NemID-nøgleapps på klageren: nr. -5245 (status: Aktiv, installeret og aktiveret 21. november 2020) og nr. -3428: (status: Spærret, installeret den 8. september 2022, aktiveret den 9. september 2022 og spærret den 9. september 2022). Den 8. september 2022 kl. 21:36:31 blev der sendt en besked til klagerens aktive nøgleapp -5245. Den 8. september 2022 kl. 21:37:01 blev transaktionen accepteret i nøgleapp -5245. Den 8. september 2022 kl. 21:37:01 blev NemID-nøgleapp -3428 installeret på anden (svindlerens) enhed. Den 9. september 2022 kl. 08:49:23 startede aktivering af Nøgleapp -3428. Den 9. september 2022 kl. 08:49:36 blev transaktionen accepteret i nøgleapp -5245. Den nye NemID-nøgleapp -3428 var derefter installeret og aktiveret på svindlerens enhed.

Af bankens kortbestemmelser for Visa/Dankort og Visa Debit fremgår blandt andet:

”… 3. Brug af [Dankort og Visa/Dankort] [Visa Debit]

3.1 Betaling

Inden du godkender en betaling eller en hævning, skal du altid sikre dig, at beløbet er korrekt. Betalinger, som du har godkendt, kan ikke tilbagekaldes. Se dog afsnit 7 og 8 vedrørende muligheden for tilbageførsel af en betaling. …”

Parternes påstande

Den 23. oktober 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal betale 7.925,86 DKK til hende.

Jyske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har blandt andet anført, at hun var udsat for phishing. Jyske Bank har anerkendt, at hun har været udsat for phishing, hvor kriminelle har misbrugt hendes personlige sikkerhedsforanstaltninger/betalingsmidler. Hun har ikke udvist haft groft uforsvarlig adfærd.

Svindleren, der udgav sig for at ville købe varen, ønskede at benytte Post Nord fragt, hvor hun skulle udfylde nogle oplysninger i forbindelse med fragt. Hun udfyldte oplysningerne i god tro. Da hun om aftenen skulle godkende fragtanmodningen med NemID, kom det normale billede frem, men der var et ekstra felt hen over NemID feltet, som hun skulle trykke på, hvilket hun gjorde. Det var formentlig ved dette tryk, at hun installerede den falske NemID-nøgleapp. Herefter godkendte hun med fingertouch, som hun plejer. Efterfølgende kan hun i bagklogskabens lys se, at det ikke var, som det plejede, da hun trykkede på det ekstra felt over NemID, men hun tænkte ikke over dette. Hun bemærkede heller ikke, hvis der stod, at hun installerede en ny nøgleapp. Hun kan hverken be- eller afkræfte, om der stod “Godkend følgende? Aktivering af ny nøgleapp”, da det ikke var noget, som hun bemærkede. Hun kan dog oplyse, at hun ikke har godkendt i et billede, der ser ud som den af Jyske Bank fremlagte illustration.

Det viste sig efterfølgende, at hun uden at vide det i forbindelse med dette fik installeret en falsk NemID-nøgleapp. Hun var i god tro, da hun godkendte med sit NemID og havde ingen mistanke om, at det var svindel.

Hvis hun havde haft den mindste mistanke, havde hun selvfølgelig heller ikke gjort det samme næste morgen med det andet kort. Umiddelbart efter at hun havde godkendt, kom der en besked om, at der var sket en fejl, og hun skulle vente 60 minutter og forsøge igen. Næste morgen forsøgte hun at godkende fragten med sit Visa/debitkort, da hun troede, at det var hendes Visa/dankort, der var noget galt med.

Jyske Bank anfører, at hun burde have indset, at hun var ved at installere en NemID-nøgleapp på svindlerens enhed, og at hun havde lejlighed til at tænke sig om en ekstra gang, fra hun godkendte installationen af NemID-nøgleappen om aftenen, til hun godkendte aktiveringen den næste morgen. Hun var ikke opmærksom på, at det drejede sig om svindel. Hun vidste ikke, at der kan snydes med NemID ved, at en svindler får en bruger til at godkende og installere en falsk NemID-nøgleapp, før hun efterfølgende talte med Nets. Nets oplyste, at det formentlig var ved linket i forbindelse med fragt via Post Nord, at hacker angrebet var foregået. Hun blev først derefter opmærksom på, at NemID-nøgleappen ikke installeres af Nets men af det enkelte firma, som sikkerhed på deres hjemmesider.

Efterfølgende modtog hun en anmodning på NemID-nøgleappen om, at hun skulle godkende et køb på 315 EUR. Hun afviste beløbet ved at trykke AFVIS i øverste venstre hjørne. Hun modtog efterfølgende endnu en anmodning på NemID-nøgleappen, hvor hun skulle godkende et køb til 525 EUR, som hun ligeledes afviste. Da anmodningerne kom, var hun i gang med at købe sko på en hollandsk hjemmeside, hvorfor hun troede, at det var deres hjemmeside og svindlere bag denne, der fremsendte anmodningerne.

Da hun opdagede svindlen, kontaktede hun med det samme både Jyske Bank og Nets for at få spærret sit kort og få stoppet transaktionen, hvilket desværre ikke var muligt.

Jyske Bank har til støtte for frifindelsespåstanden blandt andet anført, at banken lægger til grund, at betalingerne var uautoriserede, idet de blev gennemført uden klagerens samtykke, men på baggrund af klagerens kortoplysninger og i en NemID-nøgleapp på tredjemands (svindlerens) enhed, som klageren selv havde installeret.

Betalingerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30. Betalingerne blev godkendt i den NemID-nøgleapp nr. -3428 på tredjemands enhed (svindlerens enhed), som klageren havde godkendt installation og aktivering af. Klageren udleverede ligeledes sine kortoplysninger til svindleren ved at indtaste dem i det link, som hun fik tilsendt af svindleren.

NemID-nøgleappen blev aktiveret på svindlerens enhed den 9. september 2022 kl. 08:49. Da der således var to aktive NemID-nøgleapps, blev der, da svindleren gennemførte betalingerne med klagerens betalingskort, sendt godkendelsesnotifikationer til både klagerens eksisterende nøgleapp og den nyinstallerede nøgleapp på svindlerens enhed. Selvom godkendelsesanmodningen blev afvist i klagerens NemID-nøgleapp, ville den stadig kunne godkendes i den anden NemID-nøgleapp (svindlerens app).

Klageren hæfter med op til 8.000 DKK af tabet, da hun ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3, ved at udlevere sine kortoplysninger samt godkende installation og aktivering af  NemID-nøgleappen to gange med over en times mellemrum på en enhed, som ikke var hendes egen.

Klageren forventede, at hun skulle bekræfte modtagelsen af en betaling. Klageren blev, umiddelbart inden hun om aftenen den 8. september 2022 ”swipede” godkend i sin NemID-nøgleapp –5245 præsenteret for teksten: ”Godkend følgende? Aktivering af ny nøgleapp”. Klageren burde dermed have indset, at hun var ved at installere sin NemID-nøgleapp på tredjemands (svindlerens) enhed og ikke var i færd med at godkende modtagelsen af en betaling. Hvis klageren havde læst teksten, forinden hun godkendte handlingen i NemID, kunne misbruget være undgået.

Klageren fik lejlighed til at tænke sig om en ekstra gang, til hun den næste morgen godkendte aktiveringen af NemID-nøgleappen på svindlerens enhed, hvor hun igen blev præsenteret for teksten: ”Godkend følgende? Aktivering af ny nøgleapp”. Klageren burde dermed have indset, at hun var ved at aktivere sin NemID-nøgleapp på tredjemands (svindlerens) enhed og ikke at godkende modtagelsen af en betaling. Hvis klageren havde læst teksten, kunne misbruget være undgået.

Den af banken fremlagte illustration viser flowet for installation og aktivering af     NemID-nøgleapp på en ny/anden enhed, herunder de skærmbilleder, man bliver præsenteret for i forløbet. Hvis klageren fik forevist en form for ekstra felt, var det i korrespondancen med svindleren via det link, som svindleren bad klageren om at tilgå.

Banken har endvidere redegjort for oplysninger hentet fra klagerens NemID-log den 19. september 2022 i forbindelse behandling af indsigelsen. Efter overgangen til Mit-ID har banken ikke længere adgang til NemID-loggen. Hvis klageren betvivler bankens oplysninger, opfordres hun til selv at tilgå sin egen NemID-log, som hun fortsat har adgang til, og verificere bankens oplysninger.

Det følger af betalingslovens § 111, stk. 1, at en betalingsordre ikke kan tilbagekaldes efter, at den er modtaget af betalerens udbyder. Betalingerne blev modtaget af banken på det tidspunkt, hvor de blev godkendt i svindlerens NemID-nøgleapp. Fra det tidspunkt var banken ikke berettiget til at tilbageføre betalingerne, selvom betalingerne som følge af Visas clearing først senere blev trukket på klagerens konti. Samme regler følger af bankens kortbestemmelser for Visa/Dankort og Visa Debit.

Jyske Bank har til støtte for afvisningspåstanden anført, at der foreligger en sådan usikkerhed om det i sagen passerede, at en afgørelse heraf forudsætter en bevisvurdering i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, hvorfor sagen skal afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

 

Ankenævnets bemærkninger

Den 9. september 2022 henholdsvis kl. 08:58 og 09:14 blev klagerens Visa/dankort og klagerens Visa/debitkort anvendt til to betalinger på hver 525 EUR, i alt 1.050 EUR (svarende til i alt 7.925,86 DKK), som klageren ikke kan vedkende sig.

Om baggrunden for transaktionerne har klageren oplyst, at hun havde en vare til salg via Den Blå Avis. Hun blev kontaktet af en person, der foregav at ville købe varen, og som ønskede at benytte Post Nord fragt, hvor klageren skulle udfylde nogle oplysninger i forbindelse med fragt, hvilket klageren gjorde. Det viste sig efterfølgende, at hun i forbindelse med dette fik installeret en NemID-nøgleapp hos svindlerens enhed. Hun kan hverken be- eller afkræfte, om der stod “Godkend følgende? Aktivering af ny nøgleapp”, da det ikke var noget, som hun bemærkede. Hun kan dog oplyse, at hun ikke har godkendt i et billede, der ser ud som den af Jyske Bank fremlagte illustration.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket heller ikke er bestridt.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Vibeke Rønne, Jonas Thestrup Nielsen og Jimmy Bak – udtaler:

Vi finder det godtgjort, at klageren må have videregivet sine kortoplysninger og sine personlige NemID-oplysninger. Vi finder, at det må lægges til grund, at klageren den 8. og 9. september 2022 har godkendt aktiveringen af NemID-nøgleappen på svindlerens enhed i sin NemID-nøgleapp i forbindelse med, at følgende tekst blev sendt til klagerens NemID-nøgleapp den 8. og 9. september 2022: ”Godkend følgende? Aktivering af ny nøgleapp”, hvorved svindleren kunne installere og aktivere klagerens NemID på sin enhed og foretage de omtvistede transaktioner.

Vi finder, at banken har godtgjort, at klageren derved ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. Klageren skal som følge heraf hæfte med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Tina Thygesen og Finn Borgquist – udtaler:

Vi finder det godtgjort, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have handlet som sket.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.  

Vi stemmer derfor for, at banken skal tilbageføre yderligere 7.650,86 DKK til klageren.  

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.