Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod transaktion efter telefonisk henvendelse. Videregivelse af NemID-oplysninger.

Sagsnummer: 210/2021
Dato: 08-02-2022
Ankenævn: Vibeke Rønne, Jesper Claus Christensen, Mette Lindekvist Højsgaard, Lisbeth Baastrup Burgaard, Kim Korup Eriksen.
Klageemne: Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - ubegrænset hæftelse
Ledetekst: Indsigelse mod transaktion efter telefonisk henvendelse. Videregivelse af NemID-oplysninger.
Indklagede: Sparekassen Kronjylland
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod transaktion efter telefonisk henvendelse.

Sagens omstændigheder

Klageren var kunde i Sparekassen Kronjylland, hvor hun havde en konto med et tilknyttet Visa/dankort samt netbankadgang.

Den 19. marts 2020 sendte sparekassen et informationsbrev til klageren med advarsel mod at udlevere oplysninger. Følgende fremgik blandt andet af brevet:

”Vi opfordrer dig til at være ekstra kritisk, hvis du modtager SMS’er, mails eller telefonopkald, hvor du bliver bedt om at oplyse informationer om dit betalingskort, NemID eller adgang til din netbank.

Svindlerne er nemlig udspekulerede og kyniske, og flere af dem udnytter i øjeblikket, at vi alle er opmærksomme på coronavirus. De udgiver sig for at være en sundhedsmyndighed eller anden autoritet og forsøger at narre penge eller personlige oplysninger fra uskyldige borgere.

Sparekassen Kronjylland har disse gode råd:

  • Videregiv aldrig NemID, koder eller kortoplysninger til andre

Sundhedsmyndighed, politi, bankrådgiver og lignende vil aldrig spørge efter disse oplysninger. Bliver du ringet op af en mistænkelig person, så afbryd samtalen.

  • Vær opmærksom på falske hjemmesider og mails

Der er falske hjemmesider og mails, der blandt andet foregiver at være fra Sundhedsstyrelsen, eller webshops, der udgiver sig for at sælge håndsprit eller mundbind. Vær kritisk og tryk ikke på mistænkelige tilbud eller links.

  • Hent appen ”Mit digitale selvforsvar”

Forbrugerrådet Tænk og Trygfonden står bag appen ”Mit digitale selvforsvar”, som viser de seneste advarsler om fupmails og –SMSer. Du kan gratis hente appen til din mobiltelefon i App Store eller Play Butik.”

Den 22. februar 2021 blev klagerens Visa/dankort anvendt til betaling af et køb på internettet hos en forretning, F, på 19.637 kr., som klageren ikke kan vedkende sig.

Klageren har oplyst, at hun den 22. februar 2021 omkring kl. 22 blev ringet op af en person, P, der udgav sig for at være fra Nets. Han oplyste, at hendes konto var ved at blive tømt. Hun udleverede herefter sine kortoplysninger og NemID-oplysninger til P. Hun er ikke helt sikker på, hvilke oplysninger hun konkret har udleveret.

Umiddelbart efter samtalens afslutning tænkte klageren, at der var noget galt, og hun kontaktede sin svigersøn, som hjalp hende med at spærre kort og NemID. Klagerens NemID blev spærret den 22. februar 2021 kl. 22:34, og klagerens Visa/dankort blev spærret den 22. februar 2021 kl. 22:36.

Den 26. februar 2021 blev en betaling på 19.637 kr. hævet fra klagerens konto. Betalingsmodtageren, F, var en dansk elektronikforretning.

Sparekassen har oplyst, at betalingen med klagerens Visa/dankort blev foretaget med sikkerhedsløsningen 3D Secure. Ud over den ikke vedkendte betaling på 19.637 kr. blev der ligeledes forsøgt foretaget fire yderligere internetkøb på klagerens betalingskort. Disse køb blev dog alle afvist.

Sparekassen har endvidere oplyst, at P anvendte klagerens NemID-oplysninger til at tilmelde klagerens betalingskort til sikkerhedsløsningen 3D Secure/ændre tilmelding af klagerens betalingskort til sikkerhedsløsningen 3D Secure på Nets hjemmeside. Ved anvendelse af klagerens NemID-oplysninger oprettede P et telefonnummer/ændrede det telefonnummer, der var tilknyttet klagerens betalingskort, samt oprettede en personlig kode/ændrede den personlige kode, der var tilknyttet betalingskortet.

Sparekassen har fremlagt en logbog for klagerens NemID, hvoraf fremgår, at der blev accepteret flere nøgler den 22. februar 2021 om aftenen, samt at ny hardware automatisk blev accepteret, hvilket skete fra en anden IP-adresse end klagerens.

SMS’er med oplysninger om køb på kortet med tilhørende engangskoder blev som følge af P’s tilmelding/ændring af tilmelding af klagerens betalingskort til sikkerhedsløsningen 3D Secure herefter sendt til et andet telefonnummer end klagerens, og købet blev accepteret med den af P oprettede personlige kode.

Den 12. marts 2021 gjorde klageren over for sparekassen indsigelse mod betalingen på 19.637 kr. og oplyste, at hun ligeledes havde anmeldt sagen til politiet. Sparekassen afviste af tilbageføre beløbet til klageren.

Af sparekassens Regler for Visa/dankort gældende fra den 1. oktober 2018, som klagerren fik udleveret ved oprettelse af kundeforholdet, fremgår:

3.2 Særlige råd ved handel med Visa/Dankort på nettet

Pas på dit kortnummer

Opgiv aldrig dit kortnummer, medmindre du er i en decideret købssituation, hvor du ønsker at betale for noget. …”

Af Regler for NemID, som klageren ligeledes fik udleveret ved oprettelse af kundeforholdet, fremgår endvidere blandt andet:

”…

3.2 Opbevaring af bruger-id, adgangskode og nøglekort/nøgleviser/nøgleapp

Du skal være opmærksom på, at du;

  • skal opbevare dit bruger-id, din adgangskode, dit nøglekort/din nøgleviser/din pinkode til din nøgleapp sikkert og forsvarligt, så andre ikke kan få adgang til at bruge dem
  • ikke må oplyse din adgangskode dine nøgler eller din pinkode til din nøgleapp eller overlade dit nøglekort/din nøgleviser til andre …

3.3 Sikkerhed ved brug

Du skal sikre, at

  • dit bruger-id, din adgangskode og dit nøglekort/din nøgleviser/din nøgleapp kun bruges af dig selv og i overensstemmelse med reglerne
  • andre ikke får mulighed for at aflure din adgangskode eller pinkode, når du indtaster den …

…”

Parternes påstande

Den 29. april 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Kronjylland skal tilbageføre beløbet på 19.637 kr.

Sparekassen Kronjylland har nedlagt påstand om principalt afvisning, subsidiært frifindelse.

Parternes argumenter

Klageren har anført, at hun ikke bør hæfte for transaktionen, idet hun blev svindlet til at udlevere sine NemID-oplysninger og kortoplysninger.

Da hun kontaktede sparekassen telefonisk den 23. februar 2021 angående hændelsen, informerede medarbejderen hende om, at han ikke umiddelbart kunne se, at der var foretaget transaktioner på kontoen. De efterfølgende dage holdt hun selv øje med kontoen, og der var umiddelbart ingen ændringer. Den 12. marts 2021 opdagede hun, at der den 26. februar 2021, det vil sige fire dage efter spærring af kortet, var trukket 19.637 kr. på hendes konto.

Det er ikke rimeligt, at hun skal betale fuld selvrisiko, da medarbejderen i sparekassen burde have oplyst hende om, at der var foretaget et køb hos F på knap 20.000 kr., hvilket han burde have kunnet se. Hun har derfor ikke haft mulighed for at gøre indsigelse over for F mod købet.

Sparekassen Kronjylland har til støtte for afvisningspåstanden anført, at stillingtagen til sagen kræver en bevisførelse i form af parts- og vidneforklaringer, hvilket ikke kan ske for Ankenævnet.

Til støtte for frifindelsespåstanden har sparekassen anført, at klageren ved oprettelse af kundeforholdet i 2019 modtog Regler for Visa/dankort, hvoraf fremgår, at kortnummeret alene skal opgives i forbindelse med en decideret købssituation. Klageren modtog ligeledes Regler for NemID, hvoraf fremgår, at NemID-oplysningerne er personlige og skal opbevares forsvarligt, så andre ikke kan få adgang til at bruge dem. 

I marts 2020 modtog klageren et informationsbrev fra sparekassen med advarsel mod at udlevere NemID-oplysninger og kortoplysninger til andre, blandt andet i forbindelse med falske telefonopkald. Som et supplement til dette advarselsbrev har sparekassen siden 2020 ligeledes haft en advarsel mod videregivelse af NemID-oplysninger og kortoplysninger på sin netbank i forbindelse med log-on billedet og med jævne mellemrum også på sin mobilbank.

Klageren har oplyst, at hun har udleveret alle de oplysninger, som P bad om, både kortoplysninger og NemID-oplysninger, herunder flere nøgler til NemID.

Klageren har over for sparekassen oplyst, at hun ikke kunne forstå, at hun kunne overtales til at udlevere oplysningerne til P, da hun selv har advaret andre mod at udlevere oplysninger.

Klageren har derfor forsætligt udleveret oplysningerne, da hun havde en konkret viden om, at oplysningerne ikke må udleveres, og at udlevering af kortoplysninger og NemID-oplysninger, herunder NemID-nøgler kan være forbundet med risiko for misbrug.

Transaktionen til F har ikke været ramt af tekniske svigt eller andre fejl og er registreret korrekt.

Det var ikke muligt at stoppe en betaling, der blev autoriseret den 22. februar 2021 uanset, at beløbet først blev trukket efterfølgende. Det er således uden betydning, at klageren først gjorde indsigelse efter, at hun tjekkede sin konto og opdagede transaktionen.

Ankenævnets bemærkninger

Ankenævnet finder ikke, at sagen skal afvises.

Klageren har gjort indsigelse mod en transaktion på 19.637 kr. foretaget den 22. februar 2021 til et dansk elektronikforretning, F.

Om baggrunden for transaktionen har klageren oplyst, at hun den 22. februar 2021 omkring kl. 22 blev ringet op af en person, P, der udgav sig for at være fra Nets. Han oplyste, at hendes konto var ved at ved at blive tømt. Hun udleverede herefter sine kortoplysninger og NemID-oplysninger til P.

Sparekassen har oplyst, at betalingen med klagerens Visa/dankort blev foretaget med sikkerhedsløsningen 3D Secure.

Ankenævnet lægger i overensstemmelse med sparekassens oplysninger til grund, at P anvendte klagerens NemID-oplysninger til at tilmelde klagerens betalingskort til sikkerhedsløsningen 3D Secure/ændre tilmelding af klagerens betalingskort til sikkerhedsløsningen 3D Secure på Nets hjemmeside. Ved anvendelse af klagerens NemID-oplysninger oprettede P et telefonnummer/ændrede det telefonnummer, der var tilknyttet klagerens betalingskort, samt oprettede en personlig kode/ændrede den personlige kode, der var tilknyttet betalingskortet. Som følge heraf blev der sendt en SMS med oplysning om køb på kortet med tilhørende engangskode til et andet telefonnummer end klagerens, og købet blev accepteret med den af P oprettede personlige kode.

Ankenævnet lægger endvidere til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31. Ved transaktionen blev anvendt to-faktor autentifikation og dermed stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.

Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.

Det fremgår af forarbejderne til betalingslovens § 100, stk. 5 (lovforslag nr. L157, af 15. marts 2017), at hæftelse uden beløbsbegrænsning ikke finder anvendelse, hvis den personlige sikkerhedsforanstaltning uforvarende er overladt til andre, eksempelvis i forbindelse med phishing, idet betaleren ikke har overdraget den personlige sikkerhedsforanstaltning med forsæt til, at der skal foretages den uberettigede anvendelse.

Tre medlemmer - Vibeke Rønne, Lisbeth Baastrup Burgaard og Kim Korup Eriksen -udtaler:

Vi finder, at klageren har været udsat for phishing, og at sparekassen ikke har godtgjort, at betingelserne for, at klageren, der må anses for at have været i en presset situation, hæfter uden beløbsbegrænsning efter betalingslovens § 100, stk. 5, er opfyldt.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, nr. 2 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Vi finder, at klageren ved at videregive sine NemID-oplysninger under de foreliggende omstændigheder ved groft uforsvarlig adfærd har muliggjort transaktionerne, og at klageren som følge heraf hæfter med op til 8.000 kr., selv om det som anført må lægges til grund, at hun har været udsat for phishing.

Vi stemmer for, at Sparekassen Kronjylland skal tilbageføre 11.637 kr. til klageren.

To medlemmer - Jesper Claus Christensen og Mette Lindekvist Højsgaard - udtaler:

Under henvisning til de løbende advarsler klageren har modtaget fra sparekassen mod blandt andet svindel og phishing, herunder navnlig den direkte personlige henvendelse dateret den 19. marts 2020, og til de omstændigheder, som flertallet har nævnt, finder vi ikke, at klageren uforvarende har overladt NemID-oplysninger m.m. til tredjemand.

Vi finder derfor, at klageren ved at videregive brugernavn, NemID-kode, NemID-nøgler og kortnummer under disse omstændigheder med forsæt (frivilligt) har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor klageren indså eller burde have indset, at der var risiko for misbrug. Vi stemmer derfor for, at klageren hæfter uden beløbsbegrænsning.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Sparekassen Kronjylland skal inden 30 dage til klageren betale 11.637 kr. med valør fra debitering af beløbet.

Klageren får klagegebyret tilbage.