Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for korttransaktioner. Adgang til klagerens Lunar-konto/Lunar-app fra ny enhed.

Sagsnummer: 339 /2022
Dato: 30-11-2023
Ankenævn: Vibeke Rønne, Jonas Thestrup Nielsen, Karin Sønderbæk, Tina Thygesen og Elizabeth Bonde
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst: Indsigelse mod at hæfte for korttransaktioner. Adgang til klagerens Lunar-konto/Lunar-app fra ny enhed.
Indklagede: Lunar Bank A/S
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for korttransaktioner. Adgang til klagerens Lunar-konto/Lunar-app fra ny enhed.

Sagens omstændigheder

Klageren var kunde i Lunar Bank, hvor hun havde en konto -696, et betalingskort -1463, et betalingskort -6889 og mobilbankadgang via Lunar-app.

Banken har fremlagt en mail af 8. januar 2022, som den sendte til klageren, hvori banken blandt andet anførte:

”Hej [klagerens navn]

Hvis du får en sms fra Lunar - så slet den! Der er phishing sms’er i omløb, hvor svindlere vil have dig til at indtaste dine NemID-oplysninger.

Det vil Lunar aldrig spørge om på sms. Vi ville kontakte dig i din Lunar-app eller ringe fra vores eget nummer og bede dig gå ind i din bank-app.

Den falske sms og hjemmesiden ser professionel ud, så hvis du har svaret på den og videregivet dine oplysninger, skal du kontakte os med det samme og have spærret dit NemID.

…”

I en mail samme dag til banken svarede klageren:

”Super! Tak for jeres besked. Jeg har endnu ikke modtaget noget på SMS, men det er godt at være forberedt. Mange tak!”

Den 1. maj 2022 kl. 13:20 modtog klageren en SMS, der fremtrådte som om den kom fra NemLogin med teksten ”NemLogin har sendt dig ny post. Log på og læs den på mitidnyt.com”.

Den 1. maj 2022 kl. 13:27 sendte banken klageren en mail, hvori den anførte:

”Hej [klagerens navn],

En ny enhed fik tilgang til din Lunar-konto d. 01 May 22 13:27 CEST.

Enhed: iPhone 13 Pro

Hvis du ikke genkender denne enhed, bør du med det samme blokere den ved at klikke på knappen nedenfor og kontakte Lunar Support gennem Lunar appen eller ved at ringe til vores support.”

Klageren har oplyst, at hun den 1. maj 2022 kl. 13:28 modtog en enslydende mail fra banken om, at en anden enhed havde fået tilgang til hendes Lunar-konto.

Banken har oplyst, at der den 1. maj 2022 kl. 13:28 blev foretaget forsøg på at ændre koden til klagerens Lunar app med den nye enhed, men at dette ikke lykkedes.

Der blev herefter foretaget følgende transaktioner med klagerens betalingskort fra den nye enhed (iPhone 13 Pro) i Lunar-appen:

  1. 1. maj 2002 kl. 13:52

En korttransaktion til en forretning A på 18.500 kr. som blev godkendt i Lunar-appen med brug af firecifret kode.

  1. 1. maj 2022 kl. 14:01

Tre forsøg på at gennemføre korttransaktioner til A på henholdsvis 3.600 kr., 6.300 kr. og 4.500 kr., som blev godkendt i Lunar-appen ved brug af firecifret kode og herefter blev afvist.

  1. 1. maj 2022 kl. 14:03

En korttransaktion til A på 6.300 kr., som blev godkendt i Lunar-appen med brug af firecifret kode. Klageren rettede senere henvendelse til A og fik slettet denne transaktion, da den ifølge det oplyste alene var reserveret.

  1. 1. maj 2022 kl. 14:05

En korttransaktion til A på 6.300 kr. som blev godkendt i Lunar-appen med brug af firecifret kode.

  1. 1. maj 2022 kl. 14:13

En korttransaktion til en forretning, B, på 21.349 kr., som blev godkendt i Lunar appen ved brug af firecifret kode.

Banken har oplyst, at klagerens firecifrede kode til hendes Lunar-app blev indtastet korrekt fem gange den 1. maj 2022 i tidsrummet mellem kl. 13:52 og kl. 14:13.

Den 1. maj 2022 kl. 15:35 loggede klagerens egen enhed (iPhone 12 Pro Max) ind på Lunar appen fra klagerens IP-adresse med den firecifrede kode. Kl. 15:40 henvendte klageren sig telefonisk til banken og oplyste, at der var foretaget nogle korttransaktioner, som hun ikke kunne vedkende sig. Klageren fik endvidere spærret sine betalingskort og sit NemID.

Klageren gjorde herefter ved to indsigelsesblanketter og en tro- og loveerklæring indsigelse over for banken mod betalingen på 6.300 kr. til A og betalingen på 21.349 kr. til B foretaget med kort -1463, og betalingen på 18.500 kr. til A foretaget med kort -6889, i alt 46.149 kr. Klageren oplyste, at ”nogen har misbrugt mit nem id og brugt mine penge”, at hun ikke havde foretaget købene, og at hun opdagede misbruget den 1. maj 2022 kl. 15:45. Hun oplyste endvidere, at hun havde videregivet sit CPR-nummer og oplysninger fra NemID nøglekort. Hun oplyste, at hun ikke havde videregivet adgangskode til Lunar Netbank.

I rubrikken ”Netbank-ejerens forklaring/hændelsesforløb” i tro- og loveerklæringen anførte hun:

”Søndag d. 1. maj kl. 13.20 modtager jeg en SMS fra “NemLogin” om, at jeg har modtaget ny post fra mit-id. Jeg trykker på linket i SMSen og det ligner nem-id login. De beder mig tage et billede af mit nøglekort og jeg tænker ikke over, at man selvfølgelig ikke må det, så jeg tager et billede. Jeg har endnu ikke ændret mit nem-id til mit-id, så jeg tænker det er derfor jeg bliver bedt om at tage et billede af min nøglekort. Da jeg har taget et billede og “logget ind”, dirigerer hjemmesiden mig direkte videre til mitid.dk hvor der står en masse informationer om mit-id. Jeg tænker ikke videre over, at jeg ikke kan se om der er sendt noget post til mig, og jeg går derfor tilbage til linket i SMSen og prøver en gang til. Denne gang sker der heller ikke noget, og jeg tænker det er fordi de måske skal sende mig en bekræftelsesmail på et tidspunkt. Jeg forlader siden og tænker ikke mere over det.

Søndag d. 1. maj kl 13.27 og 13.28 modtager jeg to mails fra Lunar Bank om at der er login på en ny enhed. Denne mail tjekker jeg dog først omkring kl 16.30 samme dag, da det er gået op for mig, at nogen har misbrugt mit kort. Der står i mailen at der er blevet logget på en iPhone 13 pro, og jeg ejer selv en iPhone 12 pro max, så det er ikke mig selv der er logget ind.

Helt tilfældigt kigger jeg på min telefon omkring 15.45, også søndag d. 1. maj og opdager at der er 5 notifikationer fra Lunar Bank. Jeg ser at der er foretaget 5 transaktioner til [B] og [A]. Jeg undrer mig og logger ind på min bank og ser at der er hævet 66.849 DKK fra min konto, hvilket er næsten alle de penge jeg havde på min konto. Jeg ringer straks til Lunar Bank og får spærret mit kort. Kvinden fra banken fortæller mig, at jeg også skal spærre mit nem-id og politianmelde sagen. Da jeg vil ind og spærre mit nem-id, kan jeg ikke logge ind, da min adgangskode er blevet ændret, så jeg ringer og får kort og nøgleapp spærret telefonisk.

…”

Banken har oplyst, at den i forbindelse med undersøgelsen af sagen fandt ud af, at der var anvendt to forskellige IP-adresser den 1. maj 2022, og at den IP-adresse, der blev anvendt ved foretagelse af de omtvistede korttransaktioner, lå i Danmark ca. 100 km fra klagerens IP-adresse.

Banken afviste at godtgøre klageren noget beløb.

Banken har oplyst, at de i sagen omtvistede tre transaktioner alle er godkendt med 3D Secure.

Banken har endvidere oplyst, at såfremt en kunde ønsker at logge på sin Lunar-app med en ny enhed, finder en proces sted, hvor der først skal ske tilknytning til den nye enhed via en valideringsproces, der alene involverer NemID (nu MitID). Når NemID har været anvendt til login, vil kunden efterfølgende også kunne logge ind med sin selvvalgte firecifrede kode, der er koblet til kundeforholdet eller med biometrisk godkendelse i form af FaceID eller TouchID. Kunden vil dog stadig også have mulighed for at bruge NemID som login-mulighed.

En kunde, der anvender sit betalingskort udstedt af Lunar Bank som betalingsløsning online, vil på forretningens hjemmeside som normalt blive bedt om at indtaste kortoplysninger og trykke gennemfør/accepter. Kunden vil herefter blive sendt videre til et skærmbillede, som fortæller, at betalingen skal godkendes i Lunar-appen. Kunden skal herefter logge på Lunar-appen med enten den fire-cifrede kode, biometrisk godkendelse eller NemID (nu MitID), jf. ovenfor. Herefter skal kunden i Lunar-appen godkende, at der foretages en betaling på xx kr. til en navngiven betalingsmodtager fra kort xxxx ved indtastning af sin selvvalgte firecifrede pinkode, der er koblet til kundeforholdet.

Banken har oplyst, at der dermed er anvendt stærk kundeautentifikation, idet de tre omtvistede korttransaktioner er godkendt med login i Lunar-appen (noget betaleren har) og godkendt med den firecifrede kode i Lunar-appen (noget betaleren ved).

Parternes påstande

Den 1. september har klageren indbragt sagen for Ankenævnet med påstand om, at Lunar Bank A/S skal betale 46.149 kr., subsidiært betale 46.149 kr. med fradrag af 375 kr., og mere subsidiært betale 46.149 kr. med fradrag af 8.000 kr.

Lunar Bank A/S har nedlagt påstand om afvisning, subsidiært frifindelse og mere subsidiært, at klageren selv hæfter med 8.000 kr.

Parternes argumenter

Klageren har anført, at sagen ikke skal afvises, da der ikke foreligger usikkerhed om de faktiske oplysninger i sagen.

Det ligger fast, at hun den 1. maj 2022 modtog en SMS med et link til en falsk hjemmeside, hvorefter hun blev udsat for phishing. På baggrund af SMS’en forsøgte hun at logge ind med sine NemID-oplysninger samt videregav et billede af sit nøglekort, og der blev herefter foretaget flere transaktioner fra hendes konto.

Banken har forsøgt at skabe tvivl angående de faktiske oplysninger og antyder, at hun selv har medvirket til misbruget med henvisning til, at misbruget var registreret inden for en relativ kort afstand fra hendes egen IP-adresse, og at hun lykkedes med at få slettet én af korttransaktionerne.

Hvad angår registreringsstedet for misbruget sammenholdt med hendes IP-adresse, er det uforståeligt, at man har fundet det ”usædvanligt” og ”geografisk tæt på”, da der er ca. 100 kilometer mellem IP-adresserne. Begrundelsen fremstår derfor som komplet grundløs og ureflekteret.

For så vidt angår antydningen om, at der skulle være noget mistænkeligt ved, at det lykkedes hende at få slettet én ud af flere misbrugstransaktioner, blev hun ved sin indsigelse til banken gjort opmærksom på, at den ene transaktion kun var reserveret, og at hun derfor havde mulighed for at få denne transaktion slettet ved henvendelse til virksomheden. Hun fulgte derefter bankens egen opfordring, hvorefter hun kontaktede virksomheden og lykkedes med at få den reserverede transaktion slettet. Både banken og virksomheden oplyste, at det ikke var muligt at slette de andre transaktioner, da de allerede var gennemført.

Der er derfor intet grundlag for at antyde, at hun selv har været involveret i transaktionerne. Bevisbyrden herfor ligger hos banken, og banken har ikke løftet denne bevisbyrde.

Hun opdagede misbruget den 1. maj 2022 kl. 15:45, hvorefter hun straks underrettede banken om misbruget. At banken tidligere på dagen havde sendt mails om login fra andre enheder ændrer ikke på hendes kendskabstidspunkt.

Hun var offer for phishing, og hun overlod af den grund uforvarende sine oplysninger til svindleren. Det følger af forarbejderne til betalingsloven § 100 (LFF 2017-03-15 nr. 157), at udlevering af oplysninger i tilfælde af phishing ikke anses for forsætligt i bestemmelsens forstand: ”I tilfælde, hvor betaler uforvarende har overladt den personlige sikkerhedsforanstaltning til andre, eksempelvis i forbindelse med phishing, finder forslaget til stk. 4, nr. 2, dog ikke anvendelse, idet betaler ikke overdrog den personlige sikkerhedsforanstaltning med forsæt til at der skal foretages den uberettigede anvendelse.”

Ankenævnet har ligeledes i flere sager f.eks. 207/2019 og 356/2018 slået fast, at det faktum, at man udleverer sine NemID-oplysninger, ikke automatisk fører til, at oplysningerne er udleveret med forsæt.

Det følger af de nævnte afgørelser, og ordlyden af betalingsloven § 100, stk. 4, at bevisbyrden for at udleveringen er sket med forsæt ligger hos banken. Banken har ikke godtgjort, at hun udleverede oplysningerne med forsæt, hvorfor betingelsen i betalingslovens § 100, stk. 4, nr. 2, ikke er opfyldt.

Det følger af betalingsloven § 100, stk. 4, nr. 3, at denne bestemmelse kræver groft uforsvarlig adfærd. Det følger af ordlyden af betalingsloven § 100, stk. 4, nr. 3, samt af Ankenævnets praksis f.eks. i sagerne 88/2019 og 94/2019, at bevisbyrden påhviler udbyderen.

Banken har alene henvist til, at den i januar 2022 advarede om, at der var phishing-SMS’er i omløb, at hun tog et billede af sit nøglekort, at hun ikke stod i en stresset situation og at der stod ”ikke sikker” i adresselinjen. Ingen af disse forhold kan medføre, at hendes handlinger kan karakteriseres som groft uforsvarlig adfærd. Hun har ikke godkendt transaktionerne, f.eks. ved brug af SMS-koder, givet svindleren adgang til sin computer eller på anden måde handlet med groft uforsvarlig adfærd. Banken har derfor ikke godtgjort, at hun ved groft uforsvarlig adfærd har muliggjort svindlen, hvorfor betingelserne i betalingsloven § 100, stk. 4, nr. 3 ikke er opfyldt.

Det følger af forarbejderne til betalingsloven § 100 (LFF 2017-03-15 nr. 157), at det er en forudsætning for anvendelsen af betalingsloven § 100, stk. 5, at betaler med forsæt har oplyst den personlige sikkerhedsforanstaltning.  Allerede fordi udleveringen af hendes NemID-oplysninger skete uden det krævende forsæt, jf. ovenfor, er betingelserne i betalingsloven § 100, stk. 5 heller ikke opfyldt, hvorfor denne ikke finder anvendelse.

Den yderligere betingelse om, at udleveringen er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug, kan heller ikke anses for opfyldt. Ankenævnet har f.eks. i sagen 280/2019 slået fast, at der skal tungtvejende beviser til for at løfte bevisbyrden for, at udleveringen er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.

Banken har ikke fremlagt andre beviser end de ovenfor anførte angående bankens tidligere advarsel om phishing-SMS’er, hendes billede af sit nøglekort, at hun ikke stod i en stresset situation, og at der stod ”ikke sikker” i adresselinjen, jf. ovenfor. Ingen af disse forhold kan begrunde, at der foreligger så særlige omstændigheder, at hun burde have indset, at der var risiko for misbrug. Banken har derfor ikke godtgjort, at hun med forsæt har videregivet sine NemID-oplysninger til svindleren, og at det er sket under omstændigheder, hvor hun indså eller burde have indset, at der var risiko for misbrug, hvorfor betingelserne i betalingslovens § 100, stk. 5 ikke er opfyldt.

Betingelserne i betalingslovens § 100, stk. 4 og 5 er således ikke opfyldt, og hun hæfter derfor maksimalt for 375 kr., jf. betalingslovens § 100, stk. 3.

Lunar Bank A/S har til støtte for afvisningspåstanden anført, at da der foreligger omstændigheder i sagen, som gør det uklart, hvorvidt klageren selv har været involveret i de omtvistede korttransaktioner, vil en afgørelse af sagen forudsætte en bevisførelse i form af parts- og vidneforklaringer, som ikke kan finde sted for Ankenævnet, jf. vedtægternes § 5, stk. 3, nr.4.

For det første er klagerens personlige kode i Lunar-appen anvendt på trods af, at klageren i tro og loveerklæring har oplyst, at hun ikke har videregivet denne kode. Spørgsmålet om, hvorvidt klageren videregav koden til tredjemand, er en afgørende omstændighed, som er uafklaret.

For det andet er det ud fra et tidsmæssigt perspektiv påfaldende, at klageren har anført, at hun ikke så bankens mails sendt kl. 13:27 og 13:28 om, at en ny enhed havde fået adgang til hendes Lunar-app på trods af, at hun efter modtagelsen af SMS’en kl. 13:20 trykkede på linket i SMS’en to gange og gennemførte processen, herunder vedhæftede billeder af sit nøglekort. Dette forekommer usandsynligt, da der kun var få minutter mellem SMS’en kl. 13:20 og bankens mails til klageren. I den forbindelse er det endvidere bemærkelsesværdigt, at klageren efter at have videregivet disse personfølsomme oplysninger valgte fuldstændig at lægge sin telefon fra sig de følgende to timer, hvor hun angiveligt har opholdt sig i sin lejlighed.

For det tredje bør tredjemands registrerede IP-adresse tillægges vægt. Det er usædvanligt, at tredjemand opholder sig inden for en relativ kort afstand fra klagerens egen IP-adresse. Det er desuden påfaldende, at klageren i dagene før de omtvistede korttransaktioner blev foretaget, befandt sig tæt på det sted, hvor tredjemands IP-adresse blev registreret og foretog en korttransaktion på stedet.

For det fjerde er det usædvanligt, at det fulde indestående på klagerens konto ikke blev brugt af tredjemand, selv om denne havde fuld adgang til det.

For det femte er det bemærkelsesværdigt, at klageren på baggrund egne udsagn om, at man ikke må tage billeder af nøglekortet, tidligere advarsler fra banken om phishing samt nøglekortets illustration om, at der ikke må tages billeder heraf, ikke var bevidst om konsekvenserne af de handlinger, som hun foretog sig. Banken finder det afgørende for sagen, om klageren med forsæt, og velvidende har videregivet disse oplysninger.

Afslutningsvis var klageren ikke var i en presset situation, da hun videresendte sine oplysninger. Klageren havde således mulighed for at genoverveje sine handlinger, som blev anvist i SMS’en. Dette bør også ses i lyset af, at klageren var velvidende om, at man ikke må videregive personfølsomme oplysninger.

I øvrigt kan det oplyses, at banken for at få fastlagt sagens faktiske omstændigheder har forsøgt at rette henvendelse til virksomhederne, A og B, hvor købene blev foretaget, for at få oplysning om, hvor varerne blev sendt til. Banken har imidlertid ikke kunnet få disse oplysninger.

Til støtte for frifindelsespåstanden har banken anført, at klageren med forsæt og mod bedre vidende har oplyst sine personlige oplysninger for NemID til den, som har foretaget den uberettigede anvendelse, og at klageren burde have indset at der var risiko for misbrug af hendes konto, jf. betalingslovens § 100, stk. 5 hvorefter klageren hæfter for det fulde beløb.

Klageren har med forsæt videregivet et fotografi af sit nøglekort samt øvrige personlige sikkerhedsforanstaltninger. Klageren har selv oplyst at være bekendt med, at man på intet tidspunkt må dele billeder af sit nøglekort. Klageren har endvidere i forbindelse med fotograferingen af sit nøglekort handlet direkte i strid med det klare symbol på nøglekortet, som indikerer at det ikke må fotograferes.

Dernæst burde klageren have indset risiko for misbrug, da hun indtastede sine Nem- ID-oplysninger og sendte et billede af sit nøglekort. Dette underbygges af, at klageren var bekendt med cyberkriminalitet og de metoder, der anvendes. Klageren var ikke i en stresset situation, og der stod klart og tydeligt ”ikke sikkert”, da hun åbnede linket. Denne påstand forstærkes af, at klageren efter det oplyste indtastede sine oplysninger to gange uden at opnå nogen form for reaktion, hvorfor det måtte stå hende klart, at der var tale om misbrug.

Disse omstændigheder ikke kan føre til andet resultat, end at klageren med forsæt har videregivet sine personlige sikkerhedsforanstaltninger til den, som har foretaget den uberettigede anvendelse, og klageren indså eller burde have indset, at der var risiko for misbrug jf. betalingslovens § 100, stk. 5.

Til støtte for den mere subsidiære påstand har banken anført, at såfremt Ankenævnet ikke er enig i bankens påstand om frifindelse efter betalingslovens § 100, stk. 5, hæfter klageren for 8.000 kr. efter betalingslovens § 100, stk.4.

Ankenævnets bemærkninger

Klageren var kunde i Lunar Bank, hvor hun havde en konto -696, et betalingskort -1463, et betalingskort -6889 og mobilbankadgang via Lunar-app.

Den 1. maj 2022 blev der foretaget tre betalinger på i alt 46.149 kr. med klagerens betalingskort, som hun ikke kan vedkende sig.

Om baggrunden for korttransaktionerne har klageren har oplyst, at hun den 1. maj 2022 kl. 13:20 modtog en SMS, der fremstod som om, at den kom fra NemLogin med et link til en falsk hjemmeside. Hun klikkede på linket og forsøgte at logge ind med sine NemID-oplysninger samt videregav et billede af sit nøglekort, hvorefter der blev foretaget flere transaktioner på hendes konto.

Ankenævnet lægger til grund, at de ikke vedkendte korttransaktioner er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl. Af lov om betalinger § 98 følger, at registrering af brug af et betalingsinstrument ikke i sig selv er bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Klageren har oplyst, at hun ikke har videregivet sin firecifrede kode til sin Lunar-app.

Banken har oplyst, at en ny enhed den 1. maj 2022 kl. 13:27 fik adgang til klagerens Lunar-app, og at de tre omtvistede korttransaktioner blev gennemført via klagerens Lunar-app fra den nye enhed ved indtastning af klagerens selvvalgte firecifrede kode, der var koblet til hendes kundeforhold med banken.

Ankenævnet lægger i overensstemmelse hermed til grund, at de ikke vedkendte transaktioner blev foretaget via klagerens Lunar-app ved indtastning af klagerens firecifrede kode til hendes Lunar-app. Det er i sagen uafklaret, hvorledes tredjemand fik adgang til klagerens firecifrede kode til hendes Lunar-app og dermed kunne anvende koden på den nye enhed, der havde fået adgang til klagerens Lunar-app.

Afgørelsen af sagen beror på, om der må antages at være tale om tredjemandsmisbrug.

Efter de foreliggende omstændigheder finder Ankenævnet, at en stillingtagen til sagen forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.