Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagsnummer: 122/2020
Dato: 20-01-2021
Ankenævn: Vibeke Rønne, Inge Kramer, Mikkel Prehn, Ida Marie Moesby, Finn Borgquist
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Ledetekst: Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.
Indklagede: Bank Norwegian
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

KLAGER MEDHOLD

Indledning

Sagen vedrører indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagens omstændigheder

Klageren havde et kreditkort, der var udstedt af Bank Norwegian.

Klageren har oplyst, at han modtog en e-mail, der fremstod som om, den kom fra en tv- og internetudbyder. Klageren har endvidere oplyst, at han ifølge e-mailen skulle betale et beløb, at beløbet på det tidspunkt var ukendt, og at han havde ændret udbyderpakke. Efter at han havde udført transaktionen, loggede han på sin konto og så, at beløbet var på 1.527,99 EUR, svarende til 11.623,28 DKK.

Banken har anført, at betalingen skete til et salgssted, S, og at betalingen blev autoriseret den 2. marts 2020 kl. 17.19.02 ved indtastning en engangskode, der blev sendt og leveret til klagerens telefonnummer via sikkerhedsløsningen 3D Secure/Verified by Visa. Sms-teksten var følgende:

"Engangskode [kode]. Til brug for køb på 1.527,99 EUR hos [S]. Kon- troller at beløb og brugersted er korrekt."

Ifølge en af banken fremlagt udskrift blev koden sendt til klagerens telefonnummer den 2. marts 2020 kl. 17.17.53. Klageren har under klagesagen anført, at han ikke modtog en sms om et køb hos S.

Klageren har oplyst, at han kontaktede banken i Norge den 2. marts 2020 kl. 18.07, at han fik spærret sit kort og fik besked om, at han skulle kontakte bankens afdeling i Danmark den næste dag. Klageren har endvidere oplyst, at han den næstfølgende bankdag kontaktede bankens afdeling i Danmark, som oplyste, at beløbet var reserveret, og at han først kunne klage, når beløbet var betalt. Klageren rykkede efterfølgende banken telefonisk.

Den 4. marts 2020 indgav klageren indsigelse til banken, der den 13. marts 2020 afviste indsigelsen. Banken anførte, at transaktionen var udført via 3D Secure/Verified by Visa ved brug af klagerens kortoplysninger og sms-kode sendt til klagerens telefonnummer den 2. marts 2020 kl. 17.17.53. I en e-mail af 25. marts 2020 til klageren anførte banken blandt andet, at den vurderede, at klageren kunne have været udsat for phishing.

Klageren har oplyst, at han har anmeldt sagen til politiet.

Banken har fremlagt sine Aftalevilkår for kreditkort – forbrugervilkår, hvoraf det blandt andet fremgår:

”… 16. Tilbagekaldelse af betalingstransaktioner

Kortindehaveren kan ikke afbryde eller tilbagekalde en betalingstransaktion, efter at kortindehaveren har givet sit samtykke til transaktionen eksempelvis gennem brug af PIN-kode eller underskrift. …”

Parternes påstande

Den 31. marts 2020 har klageren indbragt sagen for Ankenævnet. Ankenævnet har forstået påstanden således, at Bank Norwegian skal tilbageføre beløbet på 11.623,28 DKK.

Bank Norwegian har nedlagt påstand om principalt frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at han ikke kan vedkende sig den omtvistede transaktion. Han har ikke modtaget varer til 1.527,99 EUR og har ikke modtaget en sms om køb hos S.

Da han så beløbet på 11.623,28 DKK på sin konto, ringede han straks til banken. Han fik spærret kortet mindre end 10 minutter efter, at han opdagede fejlen. Banken meddelte, at beløbet var reserveret, og at han først kunne klage, når beløbet var trukket. Han ringede til banken ni gange de næstfølgende dage. Han fik besked om, at banken ikke kunne stoppe transaktionen. Han kunne ikke få at vide, hvem der skulle modtage beløbet.

Han opsagde sin konto for at stoppe overførslen. Han fik på et tidspunkt at vide, at der var tale om phishing.

Han undrer sig over, hvad banken foretog sig i de tre dage mellem reservationen og betalingen. Når banken fik at vide, at der var tale om phishing, var banken medansvarlig for denne krimnalitet. Han er meget skuffet over, at banken ikke kunne stoppe betalingen. Banken burde have hjulpet ham med oplysning om, hvem der havde modtaget den købte vare. Oplysning herom kunne have hjulpet politiet.

Banken oplyste, at han kunne kontakte bankens forsikringsselskab, som han betaler til via banken. Forsikringsselskabet afslog at dække hans krav.

Bank Norwegian har til støtte for frifindelsespåstanden anført, at den omtvistede transaktion blev autoriseret af klageren selv.

Det er ikke godtgjort, at der var tale om en uautoriseret transaktion. Kortnummer, udløbsdato og det trecifrede sikkerhedsnummer fra kortets bagside blev oplyst. Transaktionen blev autoriseret med en engangskode. Klageren oplyste under indsigelsessagen, at han troede, at sms-koden skulle bruges til en betaling til tv- og internetfirmaet og oplyste også, at han indtastede engangskoden. Klageren har i klagesagen oplyst, at han ikke modtog en sms fra banken. Der blev sendt en sms fra banken den 2. marts 2019 med en engangskode til klagerens registrerede telefonnummer. Transaktionen kunne ikke være foretaget uden brug af denne sms-engangskode, som udelukkende blev fremsendt til klageren.

Beløb, valuta og salgssted fremgik tydeligt af sms-teksten.

Uanset om Ankenævnet måtte komme frem til, at der er tale om en uautoriseret transaktion, gør banken subsidiært gældende, at klageren hæfter for det fulde beløb, idet klageren selv med forsæt videregav sine kortoplysninger og sms-engangskoden, uanset at det af sms’en klart fremgik, at der ved brug af koden skete godkendelse af den pågældende betaling. Det fremgik også, at transaktionen var i en anden valuta, end klageren mente, han skulle foretage en transaktion i. Klageren har derfor handlet forsætligt.

Hvis Ankenævnet ikke måtte komme frem til, at klageren har handlet forsætligt, gør banken mere subsidiært gældende, at klageren skal hæfte med 8.000 kr., da klageren handlede groft uagtsomt ved at videregive sine kortoplysninger og sms-engangskoden.

Banken havde uanset spærringen ikke mulighed for at standse transaktionen, der var godkendt med Verified by VISA. Når en transaktion er godkendt, har salgsstedet ret til at trække transaktionen på kortet, uanset om der går nogle dage, før salgsstedet foretager det endelige træk af beløbet.

Bank Norwegian har til støtte for afvisningspåstanden anført, at en afgørelse blandt andet vil forudsætte en vidneforklaring under strafansvar.

Ankenævnets bemærkninger

Den 2. marts 2020 blev der foretaget en betaling på 1.527,99 EUR svarende til 11.623,28 DKK til et salgssted, S, med klagerens kreditkort udstedt af Bank Norwegian.

Ankenævnet lægger til grund, at transaktionen skete med 3D Secure, det vil sige på grundlag af en sms-engangskode, som blev sendt til klagerens telefonnummer samt på grundlag af kortoplysninger bestående af kortnummer, udløbsdato samt det trecif- rede sikkerhedsnummer på bagsiden af kortet. Klageren har oplyst, at han ikke modtog en sms om køb hos S.

Ankenævnet lægger endvidere til grund, at transaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

I henhold til Kommissionens delegerede forordning 2018/389 af 27. november 2017 artikel 38, stk. 2, trådte kravet om stærk kundeautentifikation (også kaldet to-faktor autentifikation) ved betalingstransaktioner i kraft den 14. september 2019. For så vidt angår kravet til udbydere jf. lov om betalinger § 128, har Finanstilsynet meddelt, at implementering af reglerne for kortbaserede internetbetalinger kan udskydes senest til 31. december 2020, jf. EBA's udtalelse (EBA-Op-2019-11) af 16. oktober 2019 punkt 13. Udsættelsen af implementeringen påvirker imidlertid ikke betydningen af manglende to-faktor autentifikation i forhold til ansvarsreglerne i lov om betalinger, jf. punkt 11 i EBA's nævnte udtalelse. Tilsvarende meddelelse er udsendt af Finanstilsynet.

To-faktor autentifikation indebærer blandt andet, at betalingstjenesteudbydere i forbindelse med godkendelse af kortbaserede internetbetalinger skal forlange, at kunderne bruger minimum 2 ud af 3 mulige sikkerhedselementer (noget kunden ved (f.eks. et kodeord), noget kunden besidder (f.eks. en app eller sms-engangskode modtaget via et SIM-kort), og noget kunden er (f.eks. et fingeraftryk)), jf. EBA's udtalelse (EBA-Op-2019-06) af 21. juni 2019. Efter det for Ankenævnet oplyste er der ved betalingen, hvor der blev brugt den eksisterende 3DS løsning, ikke anvendt to-faktor autentifikation, idet der blev benyttet kortdata og en sms-engangskode modtaget via et SIM-kort. Da kortdata ikke er hemmelige, men derimod synlige på kortet, udgør de ikke et gyldigt sikkerhedselement, og da sms-engangskoden sammen med SIM-kortet er noget kunden besidder, opfyldte den anvendte betalingssikkerhedsløsning samlet set kun et af de krævede to elementer. Dermed lever den ikke op til kravet om stærk kundeautentifikation.

Tre medlemmer – Vibeke Rønne, Ida Marie Moesby og Finn Borgquist - udtaler:

Når der ikke er brugt stærk kundeautentifikation, følger det af lov om betalinger § 100, stk. 7, at klageren kun kan komme til at hæfte helt eller delvist for betalingen, jf. lov om betalinger § 100, stk. 3 - 5, hvis klageren har handlet svigagtigt, hvilket der efter sagens oplysninger ikke er grundlag for at antage. Allerede som følge heraf stemmer vi for, at Bank Norwegian skal betale 11.623,28 DKK til klageren.

To medlemmer – Inge Kramer og Mikkel Prehn - udtaler:

Den anvendte sms-engangskode, der opfyldte kravet til såkaldt "dynamisk linking", jf. lov om betalinger § 128, stk. 2, knyttede betalingstransaktionen til et bestemt beløb og en bestemt betalingsmodtager.

Således som sagen er oplyst for Ankenævnet, er det imidlertid uafklaret, hvordan det har været muligt at gennemføre betalingen, og dermed også om der foreligger forhold i sagen, som indebærer, at det er uden betydning, at der skulle have været anvendt to-faktor autentifikation ved gennemførelsen af betalingen, eller at der i øvrigt foreligger forhold, der gør, at klageren hæfter, jf. lov om betalinger § 100, stk. 2 og stk. 7.

Vi finder derfor, at en afgørelse af sagen forudsætter en bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Vi stemmer derfor for, at Ankenævnet afviser sagen i medfør af Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

 

Bank Norwegian skal inden 30 dage til klageren betale 11.623,28 DKK med valør fra datoen for debitering af beløbet.

Klageren får klagegebyret tilbage.