Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af phishing mail.

Sagsnummer: 487/2022
Dato: 31-05-2023
Ankenævn: Bo Østergaard, Karin Duerlund, Andreas Moll Årsnes, Morten Bruun Pedersen og Jørn Ravn.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af phishing mail.
Indklagede: Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af phishing mail.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor han havde et betalingskort nr. -1037.

Den 3. november 2022 blev der foretaget en kortbetaling på 1.341,99 EUR svarende til 9.990,84 DKK fra klagerens konto i banken til en betalingsmodtager, M, som klageren ikke kan vedkende sig.

Klageren har oplyst, at baggrunden for betalingen var, at han den samme dag havde modtaget en e-mail, der fremstod som værende fra simply.com med en opkrævning på 159 DKK.

Banken har oplyst, at betalingen er foretaget ved godkendelse i klagerens MitID-app, der var installeret på klagerens telefon den 28. marts 2022. Banken har indhentet en udskrift fra Nets’ system af teksten, der blev sendt til klagerens MitID-app i forbindelse med godkendelse af betalingen. Af teksten fremgik:

”Betal 1341,99 EUR til [M] fra kort xx1037”

Klageren har anført, at han ikke godkendte betalingen i sin MitID-app. Han godkendte alene en betaling på 159 DKK.

Banken har oplyst, at transaktionen var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Betalingen blev bogført på klagerens konto den 7. november 2022.

Den samme dag indgav klageren indsigelse til banken. I forbindelse med indsigelsessagen videresendte klageren e-mailen af 3. november 2022 til banken. Af e-mailen fremgik:

Kære hr./frue,

Vores faktureringssystem har registreret, at denne tjeneste er udløbet, ikke fornyet på trods af de påmindelser, vi har sendt.

Dit domænenavn er derfor blevet suspenderet.

Hvis du vil genaktivere det, skal du blot gå til vores websted og bruge fornyelsesrækkefølgen tak skal du have.

FORNY NU

…”

Den 9. november 2022 godtgjorde banken klagerens tab fratrukket 8.000 DKK svarende til 1.990,84 DKK. Samme dag klagede klageren til banken, som fastholdt sin afgørelse.

Parternes påstande

Den 23. november 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal tilbageføre de resterende 8.000 DKK til ham.

Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at han modtog en e-mail med en opkrævning på 159 DKK fra simply.com. Han betalte beløbet via sit betalingskort og sit MitID.

Han godkendte ikke betalingen på 1.341,99 EUR i sin MitID-app. Han har kun selv godkendt en betaling på 159 DKK til, hvad han troede var simply.com.

Det er uforståeligt for ham, hvordan betalingen er sket.

Den 5. november 2022 blev han opmærksom på, at han muligvis var blevet snydt. Han kontaktede derefter banken og spærrede kortet. Den 7. november 2022 opdagede han, at der var trukket 9.990,84 DKK på kontoen. Han klagede derfor til banken over betalingen.

Danske Bank har til støtte for frifindelsespåstanden anført, at banken allerede har godtgjort klageren 1.990,84 DKK, hvorfor klagebeløbet maksimalt kan udgøre 8.000 DKK.

Klageren kom uforvarende via phishing til at foretage og godkende betalingen selv. Forholdet er derfor omfattet af betalingslovens § 100, herunder stk. 4 omhandlende klagerens egenhæftelse på 8.000 kr.

Betalingen blev godkendt med klagerens MitID-app, der var installeret på klagerens telefon hvormed betalingen blev korrekt godkendt med stærk kundeautentifikation. Betalingen blev godkendt via klagerens MitID-app, hvori det klart og tydeligt fremgik for klageren, at betalingsmodtageren var M, og at beløbet var 1.341,99 EUR. Betalingen var korrekt registreret og bogført og var ikke ramt af tekniske svigt eller andre fejl.

Klageren kom selv til at godkende betalingen, men han burde have læst teksten i forbindelse med godkendelsen, og dermed burde han have undladt at godkende betalingen. Klageren burde have været mere skeptisk over for e-mailen, der ikke fremstod som troværdig, f.eks. i afsendermailadresse og i sprogbruget. Hvis klageren havde udvist en større grad af forsigtighed, f.eks. ved at læse teksten i MitID-appen, og været mere skeptisk over for e-mailen, så havde betalingen været forhindret.

Klageren befandt sig ikke i en presset situation svarende til f.eks. den situation, hvor misbrug sker i forbindelse med en telefonisk henvendelse.

Klageren muliggjorde således betalingen ved groft uforsvarlig adfærd, hvorfor klageren bør hæfte med 8.000 DKK selv, jf. betalingslovens § 100, stk. 4.

Danske Bank har til støtte for afvisningspåstanden anført, at klagerens påstand om, at han ikke foretog betalingen, ikke hænger sammen med det faktiske hændelsesforløb, herunder at betalingen blev autoriseret med klagerens MitID-app. En vurdering af sagen vil derfor kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Den 3. november 2022 blev der foretaget en kortbetaling på 1.341,99 EUR svarende til 9.990,84 DKK fra klagerens konto til en betalingsmodtager, M, som klageren ikke kan vedkende sig.

Klageren har oplyst, at baggrunden for betalingen var, at han den samme dag havde modtaget en e-mail, der fremstod som værende fra simply.com med en opkrævning på 159 DKK. Klageren gjorde indsigelse mod transaktionen over for banken. Klageren oplyste, at han alene godkendte en betaling på 159 DKK. Banken godtgjorde klageren 1.990,84 DKK, svarende til det betalte beløb fratrukket 8.000 DKK.

Den omtvistede betaling med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i MitID-app.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Bo Østergaard, Karin Duerlund og Andreas Moll Årsnes – udtaler:

Vi finder det godtgjort, at klageren har godkendt betalingen på 1.341,99 EUR i sin MitID-app. Vi har herved lagt vægt på udskriften fra Nets.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID-appen, hvor han fik oplysninger om beløbet på 1.341,99 EUR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Jørn Ravn – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, hvor forbrugeren oplever, at beløbet ændrer sig efter, at transaktionen er godkendt, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, hvor beløbet først ændres efter, at transaktionen er godkendt.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf.  betalingslovens § 100, stk. 3.  

Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.  

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.