Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod hæftelse for korttransaktion efter modtagelse af mail, der fremstod som en opfordring til opdatere kortoplysninger hos streamingtjeneste. Videregivelse af NemID-oplysninger.

Sagsnummer: 323/2021
Dato: 04-03-2022
Ankenævn: Vibeke Rønne, Christina B. Konge, Jimmy Bak, Jacob Ru-ben Hansen, Anna Marie Schou Ringive.
Klageemne: Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ubegrænset hæftelse
Ledetekst: Indsigelse mod hæftelse for korttransaktion efter modtagelse af mail, der fremstod som en opfordring til opdatere kortoplysninger hos streamingtjeneste. Videregivelse af NemID-oplysninger.
Indklagede: Sparekassen Balling
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod hæftelse for korttransaktion efter modtagelse af mail, der fremstod som en opfordring til opdatere kortoplysninger hos streamingtjeneste. Videregivelse af NemID-oplysninger.

Sagens omstændigheder

Klageren var kunde i Sparekassen Balling, hvor han havde en konto med et tilhørende betalingskort.

Den 4. juli 2021 kl. 15:48:15 blev der foretaget en betaling på 8.503,78 kr. med klagerens kort til et rejsebureau, L.

Klageren har oplyst, at baggrunden for transaktionen var, at han havde modtaget en e-mail, der fremstod som værende fra en streamingtjeneste, S. I e-mailen blev han anmodet om at verificere sit betalingskort, hvilket han gjorde med sit NemID. Klageren har ikke fremlagt e-mailen, da han ikke længere er i besiddelse af den.

Den 4. juli 2021 kl. 15:52:37 blev der iværksat en yderligere betaling til L på 7.045,10 kr. ved brug af klagerens kort.

De to transaktioner blev verificeret ved brug af klagerens NemID-oplysninger og NemID-nøgleapp.

Transaktionen på 7.045,10 kr. blev standset af Nets’ antifraud robot grundet mistanke om misbrug, og kortet blev som følge heraf automatisk spærret.

I et brev af 5. juli 2021 til klageren meddelte sparekassen, at kortet var spærret da ”en tredje person har misbrugt kortet”. Den samme dag kontaktede klageren sparekassen telefonisk. Sparekassen oplyste, at kortet var spærret for at undgå eventuelt yderligere misbrug, og klageren gjorde indsigelse mod de to transaktioner. Klageren har anført, at sparekassen i en efterfølgende telefonsamtale den samme dag lovede at annullere begge transaktioner. Sparekassen har bestridt dette.

Den 6. juli 2021 blev transaktionen på 8.503,78 kr. bogført på klagerens konto.

I indsigelse til sparekassen den 12. juli 2021 anførte klageren blandt andet:

”jeg fik mit kort spærret den 4.-7. af nets overvågning, da jeg havde dummet mig med en mail fra, hvad jeg troede var [S]. de bad mig verificere mit betalingskort, hvad jeg gjorde med nem-id …”

 

Parternes påstande

Den 19. juli 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Balling skal tilbageføre transaktionen på 8.503,78 kr.

Sparekassen Balling har nedlagt påstand om principalt frifindelse, subsidiært at klageren hæfter med 8.000 kr., jævnfør betalingslovens § 100, stk. 4.

Parternes argumenter

Klageren har anført, at hans kort blev spærret af Nets’ overvågning, da han havde dummet sig, da han modtog en e-mail fra, hvad han troede var S. I e-mailen blev han anmodet om at verificere sit betalingskort til S, hvad han gjorde med NemID.

Han kontaktede sparekassen den 5. juli 2021 kl. 9:15 og bestilte et nyt kort og koder. Cirka to timer senere ringede sparekassen og spurgte, om han ville godkende to hævninger på cirka 7.000 kr. og 8.500 kr. Dette nægtede han selvfølgelig, og sparekassen lovede at annullere begge hævninger.

Sparekassen lovede ham, at der ikke kunne ske mere. Det er på baggrund heraf urimeligt, at sparekassen har afvist at dække beløbet. Hævningen skete to dage efter spærring af kortet.

Beløb, der er trukket efter, at kortet er spærret, skal dækkes af kortudstederen

Han har anmeldt sagen til politiet.

Sparekassen Balling har blandt andet anført, at transaktionen var en autoriseret betaling med anvendelse af en personlig sikkerhedsforanstaltning til kortet i form af godkendelse via NemID-nøgleapp’en. Transaktionen er korrekt registreret og bogført og er ikke ramt af tekniske svigt eller andre fejl.

Klageren har erkendt, at han i forbindelse med transaktionen selv anvendte sine betalingsoplysninger og ligeledes godkendte betalingen via sit NemID. Klageren har under hele forløbet ved begge betalinger været bekendt med beløbets størrelse og betalingsmodtageren.

Transaktionen på 8.503,78 kr. kunne ikke stoppes eller tilbagekaldes, jævnfør betalingslovens § 111, stk. 1, hvoraf det fremgår, at en betalingsordre ikke kan tilbagekaldes, efter den er modtaget af betalerens udbyder. Det af klageren anførte om, at sparekassens medarbejder lovede, at der ikke kunne ske yderligere misbrug, må bero på en misforståelse fra klagerens side, da det er kutyme ved indsigelsessager at spørge kortholder, om denne vil vedstå sig en transaktion.

 

Det er uklart, hvorvidt klageren har købt en ydelse, han har fortrudt, eller om der rent faktisk er tale om tredjemands misbrug i form af såkaldt ”phishing”.

Såfremt der var tale om svindel, hæfter klageren for det fulde beløb, jævnfør betalingslovens § 100, stk. 5. Klageren videregav alle kortoplysninger og autoriserede betalingen ved hjælp af NemID under omstændigheder, hvor han indså eller burde have indset, at der var risiko for misbrug.

Klageren burde, uanset om der er tale om svindel eller ej, som minimum have læst beløbets størrelse og betalingsmodtager på i hvert fald den ene af de to transaktioner, inden han ”swipede” og dermed godkendte betalingen. Hvis det tillades en betaler at ignorere indholdet i den prompting/besked, som betaleren bliver mødt med, giver denne sikkerhedsforanstaltning ikke mening. Hvis betaler blot ”swiper” og ikke udviser tilstrækkelig agtpågivenhed, er det meningsløst at være tilmeldt 3D Secure løsningen. Klageren har, modsat sager hvor betalingen godkendes ved SMS-kode, og hvor beløbet ikke er synligt på ”låst skærm”, haft mulighed for at se beløbet ved begge transaktioner.

Der har været stor mediedækning om ”phishing” og offentlige eksplicitte advarsler om ikke at udlevere sine kort- og sikkerhedsoplysninger. Klageren burde have indset, at videregivelse af betalingsoplysninger og den personlige sikkerhedsforanstaltning, hvoraf det eksplicit fremgik, at der var tale om et stort beløb og en anden modtager end forventet, ville medføre et misbrug. Klageren burde have indset, at han ved verificering af kort til brug af streamingtjenester ikke skulle betale et stort beløb nu og her, og at han derfor skulle udvise øget agtpågivenhed i forhold til videregivelse af sine betalingsoplysninger.

Klageren befandt sig ikke i en presset situation svarende til for eksempel phishing ved telefonisk kontakt med en gerningsmand.

Klageren har handlet groft uforsvarligt, idet han efter eget udsagn ønskede at verificere et kort med henblik på senere betaling, men endte med helt ukritisk at foretage to betalinger.

Ankenævnets bemærkninger

Klageren var kunde i Sparekassen Balling, hvor han havde en konto med et tilhørende betalingskort.

Klageren modtog på et ikke oplyst tidspunkt en e-mail, der fremstod som værende fra en streamingtjeneste, S. Klageren har oplyst, at han i e-mailen blev anmodet om at verificere sit betalingskort, hvilket han gjorde med sit NemID.

Den 4. juli 2021 kl. 15:48:15 og kl. 15:52:37 blev der foretaget to betalinger på henholdsvis 8.503,78 kr. og 7.045,10 kr. med klagerens kort til et rejsebureau, L. Transaktionerne blev verificeret ved brug af klagerens NemID-oplysninger og NemID-nøgleapp. Transaktionen på 7.045,10 kr. blev standset af Nets’ antifraud robot grundet mistanke om misbrug. Sagen angår herefter transaktionen på 8.503,78 kr., der blev bogført på klagerens konto den 6. juli 2021.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jævnfør lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jævnfør lov om betalinger § 93.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jævnfør betalingsloven § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jævnfør betalingsloven § 7, nr. 30.

Ankenævnet finder, at det som anført af sparekassen må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen. Ankenævnet finder det ikke godtgjort, at sparekassen telefonisk lovede klageren, at transaktionen ville blive annulleret.

Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.

Det fremgår af forarbejderne til betalingslovens § 100, stk. 5, (lovforslag nr. L157, af 15. marts 2017), at hæftelse uden beløbsbegrænsning ikke finder anvendelse, hvis den personlige sikkerhedsforanstaltning uforvarende er overladt til andre, eksempelvis i forbindelse med phishing, idet betaleren ikke har overdraget den personlige sikkerhedsforanstaltning med forsæt til, at der skal foretages den uberettigede anvendelse.

Ankenævnet finder, at klageren har været udsat for phishing. Ankenævnet finder, at sparekassen ikke har godtgjort, at betingelserne for, at klageren hæfter uden beløbsbegrænsning efter betalingslovens § 100, stk. 5, er opfyldt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Ankenævnet lægger til grund, at klageren godkendte betalingen på 8.503,78 kr. i sin NemID-nøgleapp. Ankenævnet finder, at sparekassen har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i NemID-nøgleappen, hvor han fik oplysninger om beløbet på 8.503,78 kr. og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 kr.

Sparekassen Balling skal herefter tilbageføre differencen på 503,78 kr. til klagerens konto med valør fra datoen for debitering af transaktionen.

Ankenævnets afgørelse

Sparekassen Balling skal inden 30 dage tilbageføre 503,78 kr. til klagerens konto med valør fra datoen for debitering af transaktionen.

Klageren får klagegebyret tilbage.