Indsigelse mod korttransaktioner foretaget som 3D Secure betalinger ved godkendelse i NemID-nøgleapp i forbindelse med phishing.

Sagsnummer:364/2022
Dato:22-08-2023
Ankenævn:Vibeke Rønne, Jonas Thestrup Nielsen, Karin Duerlund, Mor-ten Bruun Pedersen og Elizabeth Bonde
Klageemne:Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod korttransaktioner foretaget som 3D Secure betalinger ved godkendelse i NemID-nøgleapp i forbindelse med phishing.
Indklagede:Danske Andelskassers Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod korttransaktioner foretaget som 3D Secure betalinger ved godkendelse i NemID-nøgleapp i forbindelse med phishing.

Sagens omstændigheder

Klageren var kunde i Danske Andelskassers Bank, hvor han havde en konto med et tilhørende MasterCard -933.

Den 18. juni 2022 kl. 11.06 og 11.13 blev der foretaget to betalinger med klagerens kort på henholdsvis 1.329 EUR og 1.599 EUR, svarende til i alt 20.038,21 DKK, til en udenlandsk betalingsmodtager, F, som klageren ikke kan vedkende sig.

Klageren indgav indsigelse mod de to korttransaktioner til banken. Om baggrunden for betalingerne oplyste klageren i e-mails af 20. og 22. juni 2022 til banken:

”Jeg fik i weekenden en mail fra Sygekassen Danmark at jeg havde et tilgodehavende på 3.400, og de efterlyste om jeg havde e[t] nyt kort. Det svarede jeg på og jeg har haft kontakt til Sygekassen Danmark, som gav mig besked om at mange af deres medlemmer havde modtaget en mail om at de havde et tilgodehavende hos Sygekassen Danmark. De bad mig straks slette mailen. …”

”… Jeg fik i week-enden en mail fra Sygekassen Danmark, hvor de gjorde opmærksom på, at jeg havde e[t] tilgodehavende på 3.400,- kr. om jeg havde fået nyt kort.

Det havde jeg jo fået og jeg sendt[e] dem oplysninger om kortet. …”

Banken har oplyst, at betalingerne blev foretaget med 3D Secure ved godkendelse med NemID-nøgleapp. Banken har indhentet oplysninger fra Nets, hvoraf fremgår, at betalingerne skete ved godkendelse i NemID-nøgleapp den 18. juni 2022 kl. 11.06 og 11.13, og at der ved godkendelsen blev præsenteret følgende tekster i NemID-nøgleapp’en:

”Betal 1329,00 EUR til [F] fra kort xx2933”

”Betal 1599,00 EUR til [F] fra kort xx2933”

Banken godtgjorde klagerens tab fratrukket 8.000 DKK.

Parternes påstande

Den 26. oktober 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Andelskassers Bank skal tilbageføre de resterende 8.000 DKK til ham.

Danske Andelskassers Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han fik en mail fra Sygekassen Danmark om, at de forsøgte at betale hans tilgodehavende på 3.400 DKK til ham.

Svindlerne havde lavet en kopi af Sygekassen Danmarks mail. Svindlerne havde lavet en tro kopi af den originale hjemmeside.

Han gav dem sit kontokort, og de tømte hans konto.

Han havde efterfølgende telefonisk kontrakt med Sygekassen Danmark, som sagde, at han skulle slette mailen, da svindlerne havde kopieret Sygekassen Danmarks hjemmeside og sendt denne mail til flere tusinde medlemmer. Sygekassen Danmark har meldt sagen til politiet.

Banken er ikke berettiget til at tage 30 % af beløbet, som han blev svindlet for, som sikkerhedsrisiko. Tusinde medlemmer af Sygekassen Danmark har været udsat for tilsvarende svindel.

Han har aldrig set eller accepteret bankens betingelserne for MasterCard som begrænser til hævninger til 25.000 DKK.

Danske Andelskassers Bank har anført, at klageren validerede to køb på henholdsvis 1.599 EUR og 1.329 EUR med NemID/3D Secure.

I forbindelse med valideringen i NemID app’en blev klageren præsenteret for teksterne “Betal 1599,00 EUR til [F] fra kort xx2933” og “Betal 1329,00 EUR til [F] fra kort xx2933”. Klageren godkendte overførslen af disse beløb til en ukendt modtager til trods for den præsenterede tekst.

Klageren var nok ikke opmærksom på, hvem han overførte penge til. Klageren har derved handlet groft uagtsomt, jf. betalingslovens § 100, stk. 4, nr. 3, hvorfor der må beregnes en selvrisiko på 8.000 DKK.

Ankenævnets bemærkninger

Klageren var kunde i Danske Andelskassers Bank, hvor han havde en konto med et tilhørende MasterCard -933.

Den 18. juni 2022 kl. 11.06 og 11.13 blev der foretaget to betalinger med klagerens kort på henholdsvis 1.329 EUR og 1.599 EUR, svarende til i alt 20.038,21 DKK, til en udenlandsk betalingsmodtager, F, som klageren ikke kan vedkende sig.

Klageren har om baggrunden for betalingerne oplyst, at han modtog en e-mail, der fremstod som værende fra Sygekassen Danmark med oplysning om, at han havde et tilgodehavende på ca. 3.400 DKK.

Klageren gjorde indsigelse mod transaktionerne over for banken. Klageren oplyste, at han havde videregivet sine kortoplysninger i forbindelse med den falske e-mail. Banken godtgjorde klageren det betalte beløb fratrukket 8.000 DKK.

Den omtvistede betaling med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-app.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Vibeke Rønne, Jonas Testrup Nielsen og Karin Duerlund – udtaler:

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingerne på 1.329 EUR og 1.599 EUR i sin NemID-app. Vi har herved lagt vægt på oplysningerne fra Nets.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksterne i Nem-ID-appen, hvor han fik oplysninger om beløbene på 1.329 EUR og 1.599 EUR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Elizabeth Bonde – udtaler:

Vi finder det godtgjort, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionerne.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf.  betalingslovens § 100, stk. 3. 

Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren. 

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.