Sagsnummer: | 358/2022 |
Dato: | 21-04--2023 |
Ankenævn: | Bo Østergaard, Karin Sønderbæk, Andreas Moll Årsnes, Mor-ten Bruun Pedersen og Finn Borgquist. |
Klageemne: | Betalingstjenester - spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger |
Ledetekst: | Indsigelse mod to korttransaktioner, der blev gennemført som 3D Secure betalinger ved godkendelse i NemID-nøgleapp. |
Indklagede: | Nordea Bank |
Øvrige oplysninger: | |
Senere dom: | |
Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod to korttransaktioner, der blev gennemført som 3D Secure betalinger ved godkendelse i NemID-nøgleapp.
Sagens omstændigheder
Klageren var kunde i Nordea Bank, hvor hun havde en konto -877 med tilhørende Visa/Dankort -4479.
Den 11. august 2022 blev klagerens betalingskort anvendt til to betalinger til en beløbsmodtager, W, på to gange 900 EUR svarende til i alt 13.530,10 DKK, som klageren ikke kan vedkende sig.
Banken har oplyst, at betalingerne med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i klagerens NemID-nøgleapp. Banken har fremlagt en udskrift fra Nets, hvoraf det fremgår, at følgende tekst blev sendt til klagerens NemID-nøgleapp:
”Betal 900,00 EUR til [W] fra kort xx4479”
Det fremgår endvidere, at Nets bekræfter, at Nets ikke er bekendt med, at der skulle være opstået tekniske svigt eller fejl hos Nets i forbindelse med de pågældende transaktioner.
Klageren har om baggrunden for korttransaktionerne oplyst, at hun havde et maleri til salg på DBA.dk, til 900 DKK. Den 11. august 2022 henvendte en person sig til hende via WhatsApp og tilbød betaling via PostNord ved afhentning med kurér. Hun blev lokket og godkendte med sit NemID to gange, da det ikke gik igennem første gang. Tredje gang var beløbet ændret til 1.800 DKK, hvor hun fattede mistanke og straks annullerede.
Klageren har oplyst, at hun spærrede sit kort straks efter, at hun fik mistanke til svindlen, at hun henvendte sig til politiet umiddelbart derefter, og at hun tjekkede sin konto af og til, hvor hun konstaterede, at der ikke var sket noget. Af kontoudskrift vedrørende konto -877 fremgår, at klagerens konto den 16. august 2022 blev debiteret to gange 900 EUR svarende til i alt 13.530,10 DKK.
Den 17. august 2022 blev klageren opmærksom på debiteringerne.
Den 17. august 2022 gjorde klageren indsigelse mod transaktionerne. Klageren anførte blandt andet, at hun i forbindelse med salg af et maleri blev fuppet til at klikke på et link. Hun spærrede sit kort, fik nyt NemID og anmeldte sagen til politiet.
Banken har fremlagt sine Regler for Dankort og Visa/Dankort, hvoraf det blandt andet fremgår:
”10.2. Hæftelse og selvrisiko
Regler for din hæftelse er fastlagt i lov om betalinger.
Hvis dit kort er blevet misbrugt af en anden person og der i den forbindelse er anvendt en personlig sikkerhedsforanstaltning, kan du komme til at dække op til 375 DKK af det samlede tab.
Du skal dække tab op til 8.000 DKK i tilfælde af, at dit kort har været misbrugt af en anden person og der i den forbindelse er anvendt en personlig sikkerhedsforanstaltning, og
• du har undladt at underrette Nordea snarest muligt efter at have fået kendskab til, at kortet eller din mobiltelefon med wallet er bortkommet, eller at uberettigede har fået kendskab til den personlige sikkerhedsforanstaltning
• du med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at du indså eller burde have indset, at der var risiko for misbrug, eller
• du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.”
Klageren har oplyst, at hun er i besiddelse af korrespondancen med svindleren. Denne er ikke fremlagt i sagen.
Banken har tilbageført klagerens tab fratrukket 8.000 DKK, jf. betalingslovens § 100, stk. 4, 3.
Parternes påstande
Den 8. september 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbageføre de resterende 8.000 DKK for de ikke-vedkendte transaktioner.
Nordea Danmark har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at hun godkendte med NemID to gange, og at der ikke var angivet EUR, men kun et beløb på 900. Hvis der havde stået EUR, havde hun aldrig godkendt.
Hun tjekkede på PostNords hjemmeside, at man godt kan bestille en kurér, og tænkte, at den så var god nok. Der fremgik ikke nogen advarsel af hjemmesiden.
Hun spærrede straks sit kort i mobilbank, efter hun opdagede, at hun var blevet snydt, og fik ændret sit NemID næste dag. Hun gjorde banken opmærksom på, at hun var blevet svindlet.
Banken burde have standset udbetalingen den 11. august 2022. En bank skal stoppe al udbetaling fra en konto, når der bliver gjort opmærksom på, at der er foregået svindel.
Hun har ikke handlet forsætligt eller groft uforsvarligt.
Nordea Danmark har anført, at begge betalinger på 900 EUR blev korrekt registreret og bogført og ikke var ramt af tekniske svigt eller andre fejl.
Klageren bestrider ikke at have godkendt de to bestridte transaktioner i sin Nøgleapp, men alene det forhold, at beløbet var angivet i EUR.
Oplysningerne fra Nets dokumenterer, at klageren blev præsenteret for teksten ”Betal 900 EUR til [W] fra kort xx4479” ved begge transaktioner, hvorfor der ikke kan være tvivl om, at klageren godkendte transaktionerne på netop dette beløb.
Det må som minimum kunne forventes, at en betaler læser teksten i sin NemID-nøgleapp, inden denne godkender en betalingstransaktion.
Klageren udviste dermed groft uforsvarlig adfærd ved at godkende transaktionerne i sin NemID-nøgleapp til trods for, at både forretningsnavn og de debiterede beløb var synlige, da klageren gennemførte og accepterede transaktionerne.
Banken havde ikke mulighed for at stoppe transaktionerne, jf. betalingslovens § 111, stk. 1.
Ankenævnets bemærkninger
Klageren var kunde i Nordea Bank, hvor hun havde en konto -877 med et tilhørende Visa/Dankort -4479.
Den 11. august 2022 blev klagerens betalingskort anvendt til to betalinger til en beløbsmodtager, W, på to gange 900 EUR svarende til i alt 13.530,10 DKK, som klageren ikke kan vedkende sig.
Nordea Bank har tilbageført 5.530,10 DKK til klagerens konto svarende til det ikke-vedkendte beløb, fratrukket 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.
Klageren har anført, at hun godkendte med sit NemID, men bestrider, at betalingerne var angivet i ”EUR”. Hun har oplyst, at hun havde et maleri til salg på DBA.dk til 900 DKK, og at hun i den forbindelse blev narret til at trykke på et link.
Transaktionerne med klagerens betalingskort blev foretaget ved brug af sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.
Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Ankenævnet finder, at klagerens NemID er en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.
Efter betalingslovens § 100, stk. 4 hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. § 100, stk. 4, nr. 3.
Tre medlemmer – Bo Østergaard, Karin Sønderbæk og Andreas Moll Årsnes – udtaler:
Vi finder det godtgjort, at klageren har godkendt betalingerne på to gange 900 EUR i sin NemID-nøgleapp. Vi har herved lagt vægt på indholdet af udskriften fra Nets.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i NemID-nøgleappen, hvor der fremgik oplysninger om beløbet med angivelse af valuta og beløbsmodtager, og at klageren som følge heraf hæfter med 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i sagen.
To medlemmer – Morten Bruun Pedersen og Finn Borgquist – udtaler:
Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger.
Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren. Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.