Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagsnummer: 399/2021
Dato: 19-04-2022
Ankenævn: Bo Østergaard, Inge Kramer, Karin Sønderbæk, Tina Thyge-sen, Lisbeth Baastrup Burgaard.
Klageemne: Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ubegrænset hæftelse
Ledetekst: Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.
Indklagede: Sparekassen Kronjylland
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører en indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagens omstændigheder

Klageren var kunde i Sparekassen Kronjylland, hvor han havde en konto med et tilhørende Visa/dankort.

Den 30. marts 2021 sendte sparekassen et informationsbrev til klageren med advarsel mod at udlevere oplysninger. Følgende fremgik blandt andet af brevet:

”Vi oplever, at flere i øjeblikket bliver forsøgt svindlet via falske telefonopkald. Svindlere udgiver sig ofte for at være fra en IT-sikkerhedsafdeling, Nets eller lignende, og de forsøger at narre personlige oplysninger og penge fra uskyldige borgere. Det gør de ved at ringe og lade som om, at de vil afværge et igangværende misbrug af betalingskort eller netbank.

[…]

Sparekassen Kronjylland har disse gode råd:

  • Videregiv aldrig CPR-nr., NemID, koder eller kortoplysninger til andre
    Ingen med gode intentioner vil nogensinde spørge dig om disse oplysninger – heller ikke bankrådgiver, Nets eller politi. Får du et mistænkeligt telefonopkald, så afbryd samtalen.
  • Vær opmærksom på falske mails og SMS’er
    Der er også falske mails og SMS’er i omløb. Nogle af dem foregiver at være fra PostNord, der opkræver restbetaling for levering af pakker. Husk, at fragten altid er betalt på forhånd sammen med varen. Vær kritisk og tryk ikke på mistænkelige tilbud eller links.

Du kan i øvrigt læse mere om sikkerhed på nettet på disse to gode sider: www.sikkerdigital.dk og www.borger.dk/sikkerpånettet.

Hvis du bliver svindlet
Har du mistanke om, at du er blevet svindlet, skal du straks spærre dit NemID eller det betalingskort, det drejer sig om. Betalingskort kan du spærre ved at ringe på 44 89 29 29 for VISA/Dankort og 44 89 27 50 for Mastercard. Ring også straks til mig, så vi kan begrænse skaden.

[…]”

Den 8. juni 2021 blev klagerens Visa/dankort anvendt til betaling til et udenlandsk firma, F, på 1.558,92 USD, svarende til 9.691,45 kr., som klageren ikke kunne vedkende sig.

Sparekassen har oplyst, at betalingen med klagerens Visa/dankort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i klagerens NemID-nøgleapp.

Sparekassen har endvidere oplyst, at den siden den 16. marts 2021 har haft en advarsel mod at videregive oplysninger og trykke på mistænkelige links på sin netbank i forbindelse med login-billedet.

Om baggrunden for transaktionen har klageren oplyst, at han den 8. juni 2021 modtog en e-mail, der så ud til at være fra Nets. Af e-mailen fremgik:

”Kære kunde hos Nets
Vi modtog en transaktionsanmodning fra dit kreditkort 4571-xxxx-xxxx-xxxx på site http//.[F].com med en ip-adresse uden for Danmark. Af denne grund har vi forsinket debitering i 24 timer. Opdaget IP adress: 212.01.52.36 Italie – Hvis transaksjonen bliver behandliet av deg, kan du ignorere denne meldingen, og transaksjonsbeløpet belastes etter 24 timer. – Hvis transaktionen behandles af en anden person, skal du annullere transaktionen og anmode om tilbagebetaling ved at klikke på linket herunder og følge instruktionerne.”

Klageren har endvidere oplyst, at han annullerede transaktionen, hvorefter han blev betænkelig ved e-mailen. Han kontaktede derfor Nets, der oplyste, at han havde været udsat for svindel. Han spærrede herefter sit NemID og sine betalingskort.

Den 9. juni 2021 konstaterede klageren, at 9.691,45 kr. var blevet hævet fra hans konto.

Den 10. juni 2021 indgav klageren indsigelse til sparekassen. I indsigelsesblanketten anførte klageren blandt andet:

Beskriv hvad der er sket:

Jeg modtog mail fra Nets A/S om en transaktion DK5277900455 (pengeoverførsel) fra mit kreditkort 4571-xxxx-xxxx-xxxx, uden for Danmark, og af denne grund har vi (Nets) forsinket debiteringen i 24 timer.
De oplyser, at hvis det ikke er en transaktion, der er behandlet af mig, skal jeg annullere transaktionen ved at klikke på ”Annullere din ordre”. Hermed bliver [jeg] snydt til at i stedet for at annullere transaktionen, godkender jeg transaktionen.”

Den 5. august 2021 afviste sparekassen klagerens indsigelse.

Den 6. august 2021 klagede klageren over afslaget.

Den 2. september 2021 fastholdt sparekassen afslaget. Sparekassen anførte blandt andet:

”Som Sparekassen forstår din klage, modtog du en mail fra ”Nets” 8. juni 2021 med besked om en transaktionsanmodning samt at du kunne annullere ordren, såfremt du ikke havde bestilt varer.

Du klikkede herefter på link i mail, hvorefter du blev ledt videre til godkendelse af transaktionen med NemID, hvorefter et beløb på USD 1.558,92 er blevet trukket på din konto.

[…]

Du har oplyst, at du blev mistænksom umiddelbart efter du havde godkendt transaktionen, og derfor kontaktede Nets, som spærrede dit NemID samt betalingskort.

I nemID app’en fremgår, at du betaler USD 1.558,92 til [F] ved anvendelse af kort nr. XXXX. Du har således selv godkendt købet.

Selvom du efterfølgende kontaktede Nets og Sparekassen og fik kort og NemID spærret, er transaktionen allerede foretaget i forbindelse med din godkendelse via NemID. Spærring gælder således kun fremtidige betalinger, uanset at du først kunne se transaktionen på din konto senere.

Af regler for VISA/Dankort fremgår følgende i pkt. 11.3. Hæftelse for fuldt tab

”Du hæfter for det fulde tab, hvis din personlige sikkerhedsforanstaltning har været anvendt i forbindelse med misbruget under flg. betingelser

  • Du har selv videregivet sikkerhedsforanstaltningen til den som har misbrugt dit Visa/Dankort OG
  • Du indså eller burde have indset, at der var risiko for misbrug”

Sparekassen kan efter den fornyede gennemgang af sagen ikke komme til en anden afgørelse end den allerede trufne.

[…]”

Af sparekassens Regler for Visa/dankort, som klageren fik udleveret ved oprettelse af kundeforholdet, og som løbende er opdateret, fremgår blandt andet:

3.2 Særlige råd ved handel med Visa/Dankort på nettet

Pas på dit kortnummer

Opgiv aldrig dit kortnummer, medmindre du er i en decideret købssituation, hvor du ønsker at betale for noget. I andre situationer skal du aldrig, selvom du bliver opfordret til det, indtaste dit kortnummer. Hverken som ID, en del af ”medlemsoplysninger” eller for at komme videre til en anden side.”

Parternes påstande

Den 17. september 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Kronjylland skal tilbageføre beløbet på 9.691,45 kr.

Sparekassen Kronjylland har nedlagt påstand om afvisning, subsidiært frifindelse.

Parternes argumenter

Klageren har anført, at han ikke bør hæfte for transaktionen, idet han har været udsat for svindel.

Hans overbevisning var, at han annullerede en transaktion på en vare, som han ikke havde bestilt, ved at følge linket i e-mailen.

Han er uenig i sparekassens afvisning. Han er bekendt med, at der er andre lignende sager, hvor personer er blevet snydt, så det viser, hvor nemt det er at blive svindlet.

Han handlede hurtigt, cirka på 15 minutter, efter han havde foretaget annulleringen af transaktionen, der reelt var en godkendelse. Han fik spærret sit NemID og sit betalingskort, men der blev alligevel hævet 1.558,92 USD fra hans konto.

Sparekassen hævder, at han på baggrund af afsenderens e-mailadresse burde have fået mistanke om svindel. Dette argument kan han ikke bifalde. Når han normalt sender en e-mail, ser han alene på afsenderen, i dette tilfælde Nets. Afsenderadressen bruger han alene, hvis han senere skal sende en e-mail retur. Desuden kan e-mailadresser se mærkelige ud.

Sparekassen påstår, at han ikke var under tidspres. Han åbnede e-mailen i en arbejdsrelateret situation, hvor han således i en stresset arbejdssituation foretog annulleringen af transaktionen.

Sparekassen dokumenterer sine advarsler, som udsendes mod mulig svindel. Disse modtager han hele tiden, og hvis de alle skal følges og undersøges ved alle overførsler, bliver det svært at agere i den moderne verden. Han har nok som de fleste andre været udsat for forsøg på svindel, hvor han ikke er faldet i, men det gjorde han denne gang. Han har nok været for dum, en argumentation som sparekassen også lægger vægt på, men det er vel tilfældet i alle svindelsager.

Sparekassen Kronjylland har til støtte for afvisningspåstanden anført, at en endelig bevisførelse vil kræve, at der afgives vidneforklaring/partshøring, hvilket ikke kan finde sted for Ankenævnet.

Sparekassen Kronjylland har til støtte for frifindelsespåstanden anført, at klageren har modtaget regler for brug af Visa/dankort, hvoraf det fremgår, at oplysninger ikke må videregives, medmindre man er i gang med at foretage en betaling.

I marts 2021 har klageren modtaget et informationsbrev fra banken med advarsel mod at udlevere oplysninger. Siden marts 2020 har banken ved log-in til netbank advaret mod falske e-mails, SMS’er og opkald.

Klageren var ikke under tidspres, da han fulgte linket i den fremsendte e-mail.

Klageren har selv trykket på linket i e-mailen, på trods af at han ikke havde bestilt varer på nettet. Han burde have indset, at e-mailen med linket var falsk, idet e-mailadressen ikke er Nets’ adresse. Han burde endvidere have indset, at e-mailen var falsk på grund af den dårligt formulerede tekst på dansk og norsk.

Klageren har selv indtastet de personlige sikkerhedsforanstaltninger, som har gjort overførslen af beløbet mulig. Han swipede godkendelsen i NemID-nøgleappen på trods af, at det fremgik, at han var ved at overføre 1.558,92 USD til F.

Klageren kontaktede Nets i umiddelbar forlængelse af overførslen, der fik spærret hans NemID. Overførslen var dog allerede gennemført i forbindelse med, at godkendelsen blev swipet i NemID-nøgleappen.

Transaktionen har ikke været ramt af tekniske svigt eller andre fejl og er registreret korrekt.

Ankenævnets bemærkninger

Ankenævnet finder ikke, at sagen skal afvises.

Klageren har gjort indsigelse mod en transaktion på 9.691,45 kr. foretaget den 8. juni 2021 til et udenlandsk firma, F.

Om baggrunden for transaktionen har klageren oplyst, at han den 8. juni 2021 modtog en e-mail, der så ud til at være fra Nets. I e-mailen stod der, at Nets havde modtaget en transaktionsanmodning, og at såfremt den var behandlet af en anden person, skulle han annullere transaktionen. Klageren annullerede transaktionen, hvorefter han blev betænkelig ved e-mailen og kontaktede Nets, der oplyste, at han havde været udsat for svindel.

Sparekassen Kronjylland afviste at tilbageføre de 9.691,45 kr. til klageren.

Sparekassen har oplyst, at betalingen med klagerens Visa/dankort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i klagerens NemID-nøgleapp.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31. Ved transaktionen blev anvendt to-faktor autentifikation og dermed stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.

Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen.

Tre medlemmer – Bo Østergaard, Tina Thygesen og Lisbeth Baastrup Burgaard – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.

Det fremgår af forarbejderne til betalingslovens § 100, stk. 5 (lovforslag nr. L157, af 15. marts 2017), at hæftelse uden beløbsbegrænsning ikke finder anvendelse, hvis den personlige sikkerhedsforanstaltning uforvarende er overladt til andre, eksempelvis i forbindelse med phishing, idet betaleren ikke har overdraget den personlige sikkerhedsforanstaltning med forsæt til, at der skal foretages den uberettigede anvendelse.

Vi finder, at klageren har været udsat for phishing, og at sparekassen ikke har godtgjort, at betingelserne for, at klageren hæfter uden beløbsbegrænsning efter betalingslovens § 100, stk. 5, er opfyldt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Vi lægger til grund, at klageren må have godkendt betalingen på 1.558,92 USD i sin NemID-nøgleapp.

Vi finder, at sparekassen har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i NemID-nøgleappen, hvor han fik oplysninger om beløbet på 1.558,92 USD og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 kr.

Vi stemmer derfor for, at sparekassen skal tilbageføre 1.691,45 kr. til klagerens konto med valør fra datoen for debitering af transaktionen.

To medlemmer – Inge Kramer og Karin Sønderbæk – udtaler:

Det må lægges til grund, at betalingen med klagerens Visa/dankort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i klagerens NemID-nøgleapp, hvor både oplysninger om transaktionens størrelse og beløbsmodtageren fremgik.

Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.

Vi finder, at Sparekassen Kronjylland har godtgjort, at betingelserne for, at klageren hæfter efter den udvidede ansvarsbestemmelse i betalingslovens § 100, stk. 5, er opfyldt. Vi har herved lagt vægt på, at klageren i marts 2021 modtog et informationsbrev fra sparekassen med advarsel om svindel, herunder mod at udlevere oplysninger til andre. I informationsbrevet fra sparekassen blev falske e-mails fra Nets særskilt fremhævet. Sparekassen har derudover siden marts 2020 ved login til netbank advaret om falske e-mails, sms’er og opkald. Phishing mailen fra Nets var endvidere meget dårligt formuleret med en sammenblanding af dansk og norsk, hvorfor det efter vores opfattelse måtte have stået klageren klart, at den var falsk. Til trods herfor og uanset advarslerne fra sparekassen, trykkede klageren på linket i e-mailen og godkendte efterfølgende en betaling på USD 1.558,92 i hans NemID-nøgleapp til en anført beløbsmodtager, selvom klageren ikke var i færd med at gennemføre et køb. Klageren befandt sig i øvrigt ikke i en presset situation svarende til f.eks. den situation, hvor phishing sker i forbindelse med telefonisk kontakt med en svindler.

Vi stemmer derfor for, at klageren hæfter uden beløbsbegrænsning for tabet og ikke får medhold i klagen over for Sparekassen Kronjylland.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Sparekassen Kronjylland skal inden 30 dage tilbageføre 1.691,45 kr. til klageren med valør fra debiteringen af transaktionen.

Klageren får klagegebyret tilbage.