Indsigelse mod korttransaktion, der blev gennemført som 3D-secure betaling ved godkendelse i NemID-nøgle-app
| Sagsnummer: | 429/2022 |
| Dato: | 28-04-2023 |
| Ankenævn: | Vibeke Rønne, Christina B. Konge, Mette Lindekvist Højsgaard, Jacob Ruben Hansen og Poul Erik Jensen |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod korttransaktion, der blev gennemført som 3D-secure betaling ved godkendelse i NemID-nøgle-app |
| Indklagede: | Vestjysk Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Denne sag vedrører indsigelse mod en korttransaktion, der blev gennemført som 3D-secure betaling ved godkendelse i NemID-nøgle-app.
Sagens omstændigheder
Klageren var kunde i Vestjysk Bank A/S, hvor hun blandt andet havde en konto og et betalingskort (-909).
Den 25. juli 2022 blev klageren kontaktet af person P, som udgav sig for at være hendes søn.
Klageren har fremlagt en udskrift af hendes skriftlige korrespondance med P i WhatsApp. Det fremgik af korrespondancen, at P meddelte klageren, at hans telefon var gået i stykker, og at han havde fået nyt telefonnummer. P oplyste klageren, at han ikke kunne tilgå sine apps på telefonen, hvorfor han anmodede klageren om at hjælp til at udføre en betaling. P anmodede klageren om at tage et billede af sit betalingskort. Klageren tog et billede af sit betalingskort, sendte dette til P og oplyste CVC-nummeret på bagsiden af betalingskortet. P anmodede også klageren om klagerens bruger ID og adgangskode til NemID, hvilket klageren oplyste P. P forsøgte at gennemføre flere transaktioner og anmodede klageren om at godkende disse, men transaktionerne blev ikke gennemført.
Den 26. juli 2022 kontaktede P klageren igen. Af korrespondancen i WhatsApp fremgik:
”…
Hej mor er du der? (10.41)
Ja (10.41)
Er du ikke på arbejde? (10.42)
Ja (10.42)
Kan du godkende nu (10.42)
Har lige godkendt. Håber det lykkes (10.43)
Ja tak (10.44)
Så det er lykkedes nu? (10.44)
Ja (10.44)
...”
Den 26. juli 2022 blev klagerens betalingskort anvendt til en betaling til en udenlandsk betalingsmodtager, F, på 1.349 EUR svarende til 10.194,36 DKK, som klageren ikke kan vedkende sig.
Banken har fremlagt dokumentation fra NETS, hvoraf det fremgik, at klageren den 26. juli 2022 modtog teksten: ”Betal 1349,00 EUR til [F] fra kort xx6909” i sin NemID-nøgle-app på sin mobiltelefon, og at klageren godkendte transaktionen i sin NemID-nøgle-app.
Den 27. juli 2022 blev klageren mistænksom over for P og spærrede sit betalingskort og NemID.
Den 28. juli 2022 anmeldte klageren kortsvindlen og databedrageriet til politiet.
Den 29. juli 2202 blev der hævet 10.194,36 DKK på klagerens konto.
Samme dag gjorde klageren indsigelse til sin bank. Af klagerens indsigelse fremgik:
”…
jeg blev kontaktet på whatsapp af min søn, troede jeg - hans tlf. var i stykker og bad om penge til at låne penge. Jeg ved, at hans tlf. er dårlig, så jeg troede på det, selv om det var på nyt whatsappnummer. Overførsler gik, ifl. svindler ikke igennem, så jeg gav både foto af mit visakort og nemid (begge dele er spærret 28. 7. aften). MIn tidl. mand kontaktede jeg, da han måske kunne låne vores søn penge, han blev mistroisk og bad personen om kontroloplysninger, (navn på bedsteforældre). Svaret var "fuck dig" - jeg har holdt øje med min konto og håbet, der ikke var hævet penge. Men det er nu registreret, at der er hævet 10.194,36 kr., af svindler.
…”
Den 3. august 2022 modtog klagere et svar fra banken, hvoraf det fremgik, at klagerens indsigelse vedrørende 1.349,00 EUR var afvist af NETS, da transaktionen blev godkendt med fuld 3D-Secure, hvorfor banken ikke havde mulighed for at få beløbet tilbagebetalt.
Den 3. april 2023 meddelte banken, at klageren ikke er blevet godtgjort noget beløb.
Parternes påstande
Den 17. oktober 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Vestjysk Bank skal betale hende 10.194,36 DKK.
Vestjysk Bank har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at hun har været udsat for svindel.
Hun var meget syg med feber og svær kvalme, da hun blev kontaktet af bedrageren. Hendes søn boede i Tyskland og brugte euro. Hun og hendes søn skrev sammen via WhatsApp og ikke via SMS eller Messenger. Hun havde flere gange lånt sin søn penge i et par dage og fået dem tilbage igen, når han fik løn. Bedrageren ønskede at låne penge kort før lønningsdatoen. Hendes søn havde udfordringer med skærmen på sin mobiltelefon, da den var i stykker og kameraet var defekt, hvorfor bedrageren herved har ramt hende på et sårbart tidspunkt med en udfordring, som hendes søn havde. Hun havde ingen mistanke om, at det var en anden end hendes søn, der kontaktede hende. Hun var i god tro og kunne ikke vide, at hendes samtale var med en bedrager, der ville misbruge hendes betalingsoplysninger.
Efter forløbet i denne sag kom der advarsler i pressen om, at man skulle udvise agtpågivenhed, men da var skaden for hende allerede sket.
Hun fik ikke en advarsel om, at beløbet, der blev trukket, skete til en butik i Holland. Havde hun modtaget denne oplysning, havde hun stoppet transaktionen. Banken fejlede ved ikke at advare hende om så stor en overførsel til en udenlandsk konto. Banken bør i henhold til betalingsloven tilbageføre beløbet til hendes konto, da hun gennemførte betalingen om køb af en mobiltelefon til sin søn, men hverken hun eller hendes søn modtog mobiltelefonen.
Hun var normalt meget tilfreds med sin bank, men den lavede en fejl i denne sag. Sagen er principiel, da mange andre borgere bliver udsat for samme svindelnummer som hende.
Vestjysk Bank har anført, at klageren har godkendt transaktionen med 3D-secure, hvilket banken fik bekræftet ved NETS.
Da klageren har godkendt transaktionen, har hun udvist en sådan groft uforsvarlig adfærd, at det har muliggjort den uberettigede anvendelse af hendes betalingstjeneste. Banken er ikke forpligtet til at erstatte det krævede beløb, hvilket følger af betalingslovens § 100, stk. 4, nr. 3.
Ankenævnets bemærkninger
Klageren var kunde i Vestjysk Bank A/S, hvor hun blandt andet havde en konto og et betalingskort (-909).
Den 26. juli 2022 blev klagerens betalingskort anvendt til en betaling til en udenlandsk betalingsmodtager, F, på 1.349 EUR svarende til 10.194,36 DKK, som klageren ikke kan vedkende sig.
Klageren har oplyst, at baggrunden for betalingen var, at hun forinden var blevet kontaktet af P via WhatsApp, som udgav sig for at være hendes søn, og at denne person misbrugte denne relation til at få hende til at udlevere sine betalingsoplysninger, som P herefter anvendte til at iværksætte en kortbetaling.
Den omtvistede betaling med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. § 100, stk. 4, nr. 3.
Tre medlemmer – Vibeke Rønne, Christina B. Konge og Mette Lindekvist Højsgaard – udtaler:
Vi finder, at klageren ved at videregive sine betalingsoplysninger og godkende transaktionerne med NemID ved groft uforsvarlig adfærd har muliggjort transaktionerne, og at klageren som følge heraf hæfter med op til 8.000 DKK, selv om det må lægges til grund, at hun har været udsat for phishing.
Vi har herved blandt andet lagt vægt på oplysningerne fra NETS, hvoraf det fremgår, at hun modtog en meddelelse med teksten ”Betal 1349,00 EUR til [F] fra kort xx6909” i sin NemID-nøgle-app, som hun godkendte.
Vi stemmer derfor for, at banken skal tilbageføre differencen på 2.194,36 DKK med valør fra datoen for debitering af transaktionerne.
To medlemmer – Jacob Ruben Hansen og Poul Erik Jensen – udtaler:
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet på 10.194,36 DKK, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at klageren får medhold i klagen.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Vestjysk Bank skal inden 30 dage tilbageføre 2.194,36 DKK med valør fra datoen for debitering af transaktionerne til klagerens konto.
Klageren får klagegebyret tilbage.