Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.
| Sagsnummer: | 227 /2021 |
| Dato: | 18-01-2022 |
| Ankenævn: | Henrik Waaben, Inge Kramer, Jimmy Bak, Morten Bruun Pedersen og Jørn Ravn |
| Klageemne: |
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing. |
| Indklagede: | Nordea Danmark |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører en indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.
Sagens omstændigheder
Klageren var kunde i Nordea Bank, hvor hun havde en konto med et tilknyttet Visa/Dankort.
Den 27. april 2021 blev klagerens kort anvendt til en betaling til et udenlandsk firma, F, på i alt 103.179,84 russiske rubler (RUB), svarende til 8.696,92 kroner, som klageren ikke kunne vedkende sig. Den 3. maj 2021 blev transaktionen bogført på klagerens konto.
Om baggrunden for transaktionen har klageren oplyst, at hun modtog en SMS fra et leveringsfirma, D, med oplysning om, at hun skulle betale porto på 24,56 kroner. Da hun trykkede på linket i SMS’en stod der 24,56 kroner, og hun accepterede overførslen med NemID. Efter godkendelsen ændrede beløbet sig til 103.179,84 RUB.
Klageren har anført, at Nets spærrede hendes kort, og at hun fremsatte en indsigelse mod transaktionen over for banken. Hun oplyste blandt andet, at der i hendes ”wallet” var reserveret et beløb på 103.179,84 RUB, hvilket var et beløb, hun ikke kendte til.
Banken har anført, at den omtvistede transaktion blev korrekt registreret og bogført og ikke var ramt af tekniske svigt eller andre fejl.
Banken har anført, at transaktionen blev godkendt med klagerens NemID og følgende blev swipet i NemID-appen som endelig godkendelse af følgende betaling: ”Betal 103179,84 RUB til www.[F].ru.com fra kort xx5192”.
Klageren har fremlagt et udateret billede, der viser følgende:
”Bekræftelse med NemID
Kobmand: [D]
Beløb: 24.56 DKK
NEM ID
Godkend med nøgleapp
Send anmodning om godkendelse til dine nøgleapps på mobil/tablet. Skift til nøglekort.
Send.”
Den 30. april 2021 udfyldte klageren bankens indsigelsesblanket med tro- og loveerklæring. Klageren anførte blandt andet følgende i blanketten:
|
Bankens spørgsmål |
Klagerens svar |
|
Hvornår opdagede du, at kortet var misbrugt? |
Da kortet blev spærret af Nets den 27/4 2021 |
|
Hvornår opdagede du transaktionerne på dit kort/konto? |
Den 29/4 2021 |
|
Hvornår og hvordan spærrede du kortet? |
Nets spærrede kortet den 27/4 2021 |
|
Hvor og hvordan opbevarede du dit kort? |
Det var i min taske. |
|
Hvornår brugte du dit kort sidste gang? |
19/4 2021 |
|
Hvor brugte du dit kort sidste gang? |
[….com] |
|
har nogen haft adgang til dit kort? |
Nej |
|
Har kortet været udlånt på noget tidspunkt? |
Nej |
…
”Da jeg opdager i min Wallet på tlf. at der står reserveret beløbet 8696,92 tirsdag d. 27/4-2021 kl. 14:02, hvor jeg var på arbejde. Da jeg kommer hjem og skal bruge betaling via mobiltlf app, så opdager jeg, at kortet er blevet spærret, hvor jeg straks kontakter Nordea online service, hvortil han siger, at han på daværende tidspunkt ikke kan se noget træk på kontoen, og gør os opmærksom på, at vi skal holde øje med kontoen og gøre indsigelse efterfølgende, da han kan se at det er Nets, der har spærret kortet for mulig svindel.”
Ved brev af 4. maj 2021 anmodede banken klageren om yderligere oplysninger til brug for behandlingen af klagerens indsigelse. Banken stillede seks konkrete spørgsmål.
Banken har oplyst, at klageren via Netbank svarede følgende:
”Det er ved, at der er kommet en sms omkring porto betaling. Kom til at trykke på linket osv.”
Ved brev af 5. maj 2021 skrev banken blandt andet følgende til klageren:
”Vi skriver, fordi vi nu har behandlet din indsigelse mod 8.696,92 kr.
Vi har undersøgt transaktionen, som du gør indsigelse mod, og vi kan se, at transaktionen er godkendt ved brug af NemID. Det vil sige, at der i forbindelse med købet er indtastet dit NemID brugernavn samt din adgangskode, og herefter er købet bekræftet via NemID app, hvor både forretningsnavn og beløb fremgik. Ud fra denne information og din egen forklaring er vi overbevist om, at du har været udsat for phishing.
Når dine personlige sikkerhedsløsninger som NemID eller SMS-koder er brugt til verificering af transaktionen, har du en selvrisiko på 8.000 kr.
Det betyder, at du selv hæfter for 8.000 kr., mens vi dækker 696,92 kr., som indsættes på din konto i dag.”
Den 9. maj 2021 sendte klageren et link til en artikel på forbrug.dk til banken og skrev også blandt andet følgende:
”I henhold til dette kan I ikke gøre krav på selvrisiko på de 8.000 DKK. Forventer at I vender tilbage med et andet svar end det første. Vi gjorde banken opmærksom på situationen med det samme, men fik blot at vide, at de ikke kunne gøre noget, da de ikke kunne se, at noget var reserveret, men vi fortalte, at det stod i wallet.
Det der blev godkendt i sin tid var en porto på 24,56 kroner, hvor de så beder om NemID og det sker. Derefter ser hun at det [var] 103.179,84 RUB. Hvilket der ikke er accepteret.
Vi kan desværre ikke vedhæfte et billede fra mobilen, da det ligger klar. Så send os en mail, hvortil vi kan sende beviset.”
Den 12. maj 2021 fastholdt banken, at klageren hæftede for 8.000 kroner af misbruget.
Banken har fremlagt sine Regler for dankort og Visa/dankort, hvor det af punkt 10.2 blandt andet fremgår, at:
”Hvis dit kort er blevet misbrugt af en anden person og der i den forbindelse er anvendt en personlig sikkerhedsforanstaltning, kan du komme til at dække op til 375 kr. af det samlede beløb.
Du skal dække tab op til 8.000 kr. i tilfælde af, at dit kort har været misbrug af en anden person og at der i den forbindelse er anvendt en personlig sikkerhedsforanstaltning, og
- du har undladt at underrette Nordea snarest muligt efter at have fået kendskab til, at kortet eller din mobiltelefon med wallet er bortkommet, eller at uberettigede har fået kendskab til den personlige sikkerhedsforanstaltning,
- du med fortsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at du indså eller burde have indset, at der var risiko for misbrug, eller
- du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.”
Parternes påstande
Den 12. maj 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal godtgøre hende hele transaktionen og dermed betale 8.000 kroner.
Nordea Danmark har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at hun har været udsat for phishing. Hun modtog en SMS fra D, hvor hun blev anmodet om at betale porto på 24,56 kroner. Da hun loggede ind med sit NemID stod betalingen 24,56 kroner til D, men da betalingen gik igennem, var beløbet pludselig 8.696,92 kroner.
Hun kontaktede banken med det samme og fortalte om situationen. Hun gjorde opmærksom på, at der var reserveret 103.179,84 RUB i hendes wallet, og at hun ikke kendte til den reserverede betaling.
Hun er uenig i, at hun skal hæfte for 8.000 kroner, da hun, allerede samme dag efter betalingen var reserveret, fremsatte indsigelse over for banken for at få betalingen stoppet.
Nordea Danmark har anført, at banken ikke har handlet ansvarspådragende.
Ifølge klagerens forklaring, modtog hun en SMS i anledning af, at hun skulle betale porto for et mindre beløb. Ikke desto mindre gennemførte og godkendte hun efterfølgende betaling af det i sagen omhandlede væsentligt større beløb til et firma med russisk internetadresse.
Transaktionen blev uomtvistet foretaget og godkendt af klageren selv. Da hun swipede godkendelsen af betalingen, kunne hun både se beløb og beløbsmodtager, og klageren videregav således ikke personlige sikkerhedsoplysninger, herunder NemID-oplysninger, til tredjemand.
Dermed gøres det gældende, at forholdet i denne sag principielt ikke er omfattet af betalingslovens § 100, som omhandler uautoriserede transaktioner.
Ud fra klagerens forklaring af hændelsesforløbet må det antages, at hun - på trods af, at hun uomtvisteligt selv foretog og godkendte den omtvistede transaktion - har været udsat for et hændelsesforløb, som til en vis grad minder om phishing eller smishing, der er karakteristeret ved, at en svindler franarrer en person diverse personlige sikkerhedsforanstaltninger til vedkommendes betalingstjeneste med henblik på at misbruge betalingstjenesten.
Det gøres derfor gældende, at forholdet under alle omstændigheder er omfattet af betalingslovens § 100, stk. 4, og ”Regler for dankort og Visa/dankort”, punkt 10.2, 3. afsnit, og det fastholdes på den baggrund, at klageren skal hæfte med 8.000 kroner for den omtvistede transaktion.
Ankenævnets bemærkninger
Klageren har gjort indsigelse mod en transaktion på 103.179,84 russiske rubler (RUB), svarende til 8.696,92 kroner, foretaget den 27. april 2021 til et udenlandsk firma, F.
Om baggrunden for transaktionen har klageren oplyst, at hun modtog en SMS fra et leveringsfirma, D, med oplysning om, at hun skulle betale porto på 24,56 kroner. Da hun trykkede på linket i SMS’en stod der 24,56 kroner, og hun accepterede overførslen med NemID. Efter godkendelsen ændrede beløbet sig til 103.179,84 RUB.
Banken har oplyst, at den omtvistede betaling med klagerens betalingskort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.
Ankenævnet finder, at det er uklart, om banken begik en fejl, da klageren ringede og oplyste, at der var reserveret 103.179,84 RUB i hendes wallet. Ankenævnet finder imidlertid, at det som anført af banken må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, da klageren ringede den 27. april 2021.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.
Klageren har oplyst, at hun ikke godkendte betalingen af 8.696,92 kroner til F, men derimod en transaktion på 24,56 kroner til D.
Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Ankenævnet finder videre, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.
Efter lov om betalinger § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.
Tre medlemmer - Henrik Waaben, Inge Kramer og Jimmy Bak – udtaler:
Vi lægger til grund, at klageren må have godkendt betalingen på 103.179,84 RUB i sin NemID-nøgleapp.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da klageren burde have reageret på teksten i NemID-nøgleappen, hvor klageren fik oplysninger om, at der var tale om en overførsel af 103.179,84 RUB til F.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer - Morten Bruun Pedersen og Jørn Ravn – udtaler:
Som nævnt ovenfor finder Ankenævnet, at der er tale om svindel fra tredjemands side.
Vi finder ikke, at klageren har udvist groft uforsvarlig adfærd, idet der må være tale om systemfejl, når beløbet kunne ændre sig efter godkendelsen. Banken har dermed ikke godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi stemmer derfor for, at klageren får medhold i klagen.
Der træffes afgørelse efter stemmeflertallet.
Klageren får herefter ikke medhold i klagen.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.