Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod korttransaktion foretaget som 3D Secure betaling ved godkendelse i NemID-nøgleappen i forbindelse med phishing.

Sagsnummer: 407/2022
Dato: 31-05-2023
Ankenævn: Bo Østergaard, Inge Kramer, Karin Duerlund, Morten Bruun Pedersen og Jørn Ravn.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod korttransaktion foretaget som 3D Secure betaling ved godkendelse i NemID-nøgleappen i forbindelse med phishing.
Indklagede: Nordea Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod korttransaktion foretaget som 3D Secure betaling ved godkendelse i NemID-nøgleappen i forbindelse med phishing.

Sagens omstændigheder

Klageren var kunde i Nordea Bank, hvor hun havde en konto med et tilhørende betalingskort -850.

Den 9. september 2022 blev der foretaget en betaling med klagerens betalingskort -850 på 1.575 EUR, svarende til 11.830,22 DKK, til en betalingsmodtager L, som klageren ikke kan vedkende sig.

Om baggrunden for transaktionen har klageren oplyst, at hun modtog en SMS, der fremstod som værende fra Apple, hvor der stod, at hendes betalingskort var blevet afvist, og at hun skulle bekræfte sit betalingskort, for at hendes Apple ID ikke skulle blive blokeret. Hun havde for nyligt fået nyt kort og valgte at følge opfordringen i SMS’en, hvorefter hun trykkede på linket og blev videreført til en hjemmeside, som fremstod som værende fra Apple. Hun blev herefter viderestillet til Apple login, hvor hun loggede ind med sit NemID. Hun forsøgte forgæves at godkende med NemID-nøgleappen to gange, hvor den blev ved med at ”loade”.

Banken har oplyst, at betalingen er foretaget med 3D Secure ved godkendelse i klagerens NemID-nøgleapp, og har fremlagt en transaktionsliste, hvoraf fremgår, at der ved godkendelsen blev sendt følgende tekst:

”Betal 1575,00 EUR til [L] fra kort xx6850”

Banken har endvidere fremlagt et testeksempel på det billede, som kunder bliver præsenteret for i deres NemID-nøgleapp, og har oplyst, at når der godkendes i bunden, ved at swipe til højre, gennemføres transaktionen.

Af hændelseslog for NemID fremgår det, at transaktionen blev accepteret den 9. september 2022 kl. 19:09 i NemID-nøgleapp med serienummeret -8376.

Banken har fremlagt en e-mailkorrespondance med Nets, hvoraf fremgår, at Nets bekræfter, at de ikke er bekendt med, at der skulle være opstået tekniske svigt eller fejl hos Nets i forbindelse med den pågældende transaktion.

Betalingen blev bogført på klagerens konto den 13. september 2022.

Den 13. september gjorde klageren indsigelse over for banken. I indsigelsesblanketten anførte klageren blandt andet, at hun opdagede transaktionen den 13. september 2022, at hun hverken kendte til transaktionen på 1.575 EUR eller virksomheden, og at hun aldrig havde handlet med virksomheden.

Klageren har fremlagt et skærmbillede af SMS’en, hvoraf fremgår:

”APPLE PAY : Kære [klageren], dit betalingskort er afvist! Bekræft det, ellers bliver dit AppleID blokeret : https:/./.apple.dk-local.com/.”

Banken har godtgjort klagerens tab fratrukket 8.000 DKK svarende til 3.830,22 DKK.

Parternes påstande

Den 6. oktober 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbageføre hele beløbet.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun på intet tidspunkt tænkte, at det var en falsk hjemmeside, da den lignede Apples hjemmeside, og på NemID login fremgik Apple, hvor der hverken stod beløb eller andet, der skulle indikere, at det ikke var Apple. Hun forsøgte at gennemføre transaktionen i god tro, da SMS’en var fra Apple.

Hun fik ikke i sin NemID-nøgleapp vist teksten ”Betal 1575,00 EUR til [L] fra kort xx6850” ved den transaktion, som hun godkendte. Hun har derfor ikke haft en chance for at bedømme, om transaktionen var til Apple eller ikke.

Hun fik på intet tidspunkt vist en kvittering i sin NemID-nøgleapp, som loadede, hvilket den gjorde gentagne gange.

I en telefonsamtale med en medarbejder fra bankens kundeservice blev hun gjort opmærksom på, at banken var i besiddelse af en oversigt fra NemID, som viste, hvad der nøjagtigt stod på transaktionen af 9. september 2022. Hun har efterspurgt at få denne tilsendt, hvilket blev afvist.

Hun opdagede, at der var gennemført en transaktion den 13. september 2022, hvor hun så, at pengene var trukket på hendes konto.

Nordea Danmark, har anført, at transaktionen blev godkendt med 3D Secure i klagerens NemID-nøgleapp, og at klageren blev præsenteret for beløbsmodtager og beløb inden godkendelsen.

Der har aldrig været en sag, hvor teksten har ændret sig til noget andet, end den tekst der er blevet præsenteret for en kunde, når denne har swipet.

Hændelsesloggen for NemID vil og kan ikke indeholde teksten, som er fremgået i klagerens NemID-nøgleapp. Beløbet fremgår i NemID-nøgleappen og ikke på skærmen, hvor klageren indtaster sine oplysninger.

Nets har bekræftet, at de ikke er bekendt med, at der skulle være opstået tekniske svigt eller fejl i forbindelse med den pågældende transaktion.

Klageren har kun én nøgleapp i aktiv brug, hvorfor det kun kan være denne nøgleapp, der har været i brug ved godkendelsen af det pågældende beløb.

Banken anerkender, at klageren er blevet snydt til at gennemføre en transaktion, hun ikke ønskede at gennemføre, men fastholder, at det er utvivlsomt, at godkendelsesbilledet viste det fremlagte.

Klageren har udvist groft uforsvarlig adfærd, hvilket er årsagen til, at klagerne hæfter for op til 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnets bemærkninger

Klageren var kunde i Nordea Bank, hvor hun havde en konto med tilhørende Visakort -850.

Den 9. september 2022 blev der foretaget en betaling på 1.575 EUR, svarende til 11.830,22 DKK, med betalingskort -850 til en betalingsmodtager, L, som klageren ikke kan vedkende sig. Om baggrunden for betalingen har klageren oplyst, at hun modtog en SMS, der fremstod som værende fra Apple, hvor hun blev opfordret til at opdatere sit betalingskort for at undgå blokering af Apple ID, og at hun trykkede på linket i SMS’en og blev videreført til en hjemmeside, der lignede Apples, hvor hun loggede på med sit NemID.

Klageren har anført, at hun forgæves forsøgte at godkende med NemID-nøgleappen to gange, hvor den blev ved med at ”loade”, og at hun ikke fik vist teksten med beløbsmodtager og beløb.

Banken har anført, at klageren ved godkendelse i NemID-nøgleappen blev præsenteret for teksten med beløbsmodtager og beløb.

Banken har godtgjort klagerens tab fratrukket 8.000 DKK svarende til 3.830,22 DKK.

Den omtvistede betaling med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Bo Østergaard, Inge Kramer og Karin Duerlund – udtaler:

Vi lægger til grund, at klageren har godkendt betalingen på 1.575 EUR i sin NemID-nøgleapp, og at teksten med beløbsmodtager og beløb blev fremsendt til klagerens NemID-nøgleapp ved godkendelsen.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i NemID-nøgleappen, hvor hun fik oplysninger om beløbet på 1.575 EUR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Jørn Ravn – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf.  betalingslovens § 100, stk. 3. 

Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren. 

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.