Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagsnummer: 263 /2021
Dato: 18-01-2022
Ankenævn: Henrik Waaben, Inge Kramer, Jimmy Bak, Morten Bruun Pedersen, Jørn Ravn.
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst: Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.
Indklagede: Sydbank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører en indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagens omstændigheder

Klageren var kunde i Sydbank, hvor hun havde et betalingskort.

Den 21. april 2021 blev klagerens betalingskort anvendt til en betaling til et udenlandsk firma, F, på i alt 17.423,01 tyrkiske lira (TRY), svarende til 13.640,56 kroner, som klageren ikke kunne vedkende sig.

Om baggrunden for transaktionen har klageren oplyst, at hun trykkede på et link fra et postfirma, P, hvorefter hun blev sendt videre til en side, hvor hun indtastede sit kortnummer. Derefter indtastede hun brugernavn og kode i NemID-feltet, hvorefter siden forsvandt. Hun godkendte ikke transaktionen på 13.640,56 kroner hverken med engangskode, SMS eller nøglekort.

Om baggrunden for transaktionen har banken anført, at klageren blandt andet oplyste følgende:

”Kan godt huske episoden nu.

Modtog denne SMS fra [P], hvor jeg trykkede på linket og evt. udfyldte oplysningerne. Men da den ville have jeg skulle godkende med nøglekort, blev jeg mistænksom og kontaktede [P].

De bekræftede, at det var en fake mail, og jeg ikke skulle foretage mig yderligere. Om jeg nåede at indtaste NemID opl. eller ej, kan jeg dog ikke huske.”

Efterfølgende blev en betaling på 13.640,56 kroner hævet fra klagerens konto.

Den 25. april 2021 spærrede klageren sit betalingskort og fremsatte en indsigelse til banken. Klageren anførte blandt andet følgende i den til indsigelsesblanketten hørende tro- og loveerklæring:

Jeg har hverken deltaget i eller godkendt nedenstående transaktion(er).

Nej

Var kortet i din besiddelse på tidspunktet for den eller de ikke-godkendte transaktioner?

Ja. Var i min besiddelse.”

Banken har oplyst, at betalingen med klagerens betalingskort blev foretaget med sikkerhedsløsningen 3D Secure, idet betalingen var godkendt i klagerens NemID-nøgleapp.

Banken har fremlagt en udskrift og har med henvisning til denne anført, at betalingen blev sendt til godkendelse i klagerens NemID-nøgleapp, og at følgende tekst fremgik i nøgleappen: ”Betal 17423,01 TRY til [F] fra kort xx9171”

Banken har med henvisning til udskriften anført, at NemID-nøgleappens serienummer og datoen for installering og aktivering heraf er angivet til den 12. oktober 2020. Banken har videre anført, at klageren alene har haft én version af nøgleappen, og at den ikke blev oprettet i forbindelse med svindlen. Banken har også med henvisning til udskriften anført, at IP-adressen, der blev registreret ved godkendelse af transaktionen, er identisk med IP-adressen, der blev registreret ved betalingen.

Den 16. maj 2021 skrev banken til klageren, at hendes tab fratrukket 8.000 kroner blev godtgjort, svarende til 5.640,56 kroner. Klageren klagede over dette til banken.

Ved brev af 28. maj 2021 fastholdt banken sin afgørelse. Følgende fremgik blandt andet heraf:

”Vi har forstået sagen således, at du kom til at klikke på et link i en mail fra en svindler ([”P”]). Du indtastede kortnummer og loggede ind med dit NemID. Du har oplyst, at du ikke har godkendt en transaktion på 13.640,56 kr. til [F].

Vi kan oplyse, at transaktionen blev godkendt i din NemID app. Der blev i den forbindelse sendt følgende tekst til dig:

Betal 17423,01 TRY til [F] fra kort xx9171

Banken er som udgangspunkt forpligtet til at dække kunders tab i forbindelse med uautoriserede transaktioner.

Efter en samlet vurdering, herunder at godkendte transaktionen med din NemID app, er det vores opfattelse, at du ved groft uforsvarlig adfærd har muliggjort svindlen. På den baggrund hæfter du selv for 8.000 kroner af misbruget.”

Parternes påstande

Den 31. maj 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Sydbank skal tilbageføre 8.000 kroner til hendes konto.

Sydbank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun ikke godkendte transaktionen i NemID-nøgleappen.

Hun har været udsat for phishing, og banken burde tilbageføre alle hendes penge. Hun er uenig i, at hun skulle have handlet uansvarligt. Hun handlede i god tro og kunne ikke have gennemskuet, at der var tale om en falsk e-mail.

Linket i e-mailen fra postfirmaet sendte hende videre til en side, hvor hun blev bedt om at indtaste kortnummer, hvilket hun gjorde. Derefter indtastede hun brugernavn og kode i NemID-feltet, hvorefter siden forsvandt. Hun har hverken via engangskode, SMS eller nøglekort godkendt transaktionen på 13.640,56 kroner.

Banken burde hæfte for det fulde beløb som følge af misbruget af hendes betalingskort.

Sydbank har anført, at den har opfyldt sine forpligtelser efter betalingsloven ved at godtgøre klageren 5.640,56 kroner.

Klageren befandt sig ikke i en presset situation svarende til for eksempel den situation, hvor misbruget sker i forbindelse med en telefonisk henvendelse.

Som det fremgår af den i sagen fremlagte udskrift, er den IP-adresse, der blev registreret i forbindelse med godkendelsen, identisk med den IP-adresse, der blev registreret ved betalingen. Betalingen og den efterfølgende godkendelse skete således på det samme netværk. Klageren har bekræftet, at hun oprettede betalingen, og det må derfor og være klageren, der godkendte betalingen i klagerens NemID-nøgleapp.

Da klageren, uanset teksten i nøgleappen, valgte at godkende betalingen på 17.423,01 TRY til F, har klageren ved groft uforsvarlig adfærd muliggjort betalingen og hæfter derfor for 8.000 kroner af tabet.

Ankenævnets bemærkninger

Klageren gjorde indsigelse mod en transaktion på 17.423,01 tyrkiske lira (TRY), svarende til 13.640,56 kroner, foretaget den 21. april 2021 til et udenlandsk firma, F.

Om baggrunden for transaktionen har klageren oplyst, at hun trykkede på et link fra et postfirma, P, hvorefter hun blev sendt videre til en side, hvor hun indtastede sit kortnummer. Derefter indtastede hun brugernavn og kode i NemID-feltet, hvorefter siden forsvandt. Hun godkendte ikke transaktionen på 13.640,56 kroner hverken med engangskode, SMS eller nøglekort.

Banken har oplyst, at den omtvistede betaling med klagerens betalingskort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Klageren har anført, at hun ikke godkendte betalingen til F. Banken har bestridt dette.

Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning til kortet, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kroner af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Tre medlemmer - Henrik Waaben, Inge Kramer og Jimmy Bak – udtaler:

Klageren har anført, at hun ikke godkendte transaktionen på 17.423,01 TRY til F. Banken har anført, at klageren godkendte transaktionen i sin NemID-nøgleapp.

Ankenævnet finder, at en afklaring af sagens nærmere omstændigheder, herunder en afklaring af, hvordan transaktionen blev behandlet i Nets’ systemer og hvorvidt klageren godkendte transaktionen i NemID-nøgleappen, samt betydningen heraf, vil forudsætte en bevisførelse i form af parts- og vidneforklaringer, som ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene, jf. § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Vi stemmer derfor for, at klagen afvises.

To medlemmer - Morten Bruun Pedersen og Jørn Ravn – udtaler:

Som nævnt ovenfor finder Ankenævnet, at der er tale om svindel fra tredjemands side.

Vi finder ikke, at klageren har udvist groft uforsvarlig adfærd, idet der må være tale om systemfejl, når beløbet blev trukket fra klagerens konto trods klagerens manglende godkendelse. Banken har dermed ikke godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi stemmer derfor for, at klageren får medhold i klagen.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.