Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.
| Sagsnummer: | 229 /2021 |
| Dato: | 18-01-2022 |
| Ankenævn: | Henrik Waaben, Inge Kramer, Jimmy Bak, Morten Bruun Pedersen, Jørn Ravn. |
| Klageemne: |
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing. |
| Indklagede: | Sydbank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.
Sagens omstændigheder
Klageren var kunde i Sydbank, hvor hun havde en konto med et tilknyttet betalingskort.
Den 26. april 2021 blev klagerens betalingskort anvendt til en betaling til et firma, F, på i alt 13.429,24 kr., som klageren ikke kan vedkende sig.
Den 24. marts 2021 modtog klageren en mail, der fremstod som om, at den kom fra et dansk postfirma, P. Af mailen fremgik blandt andet:
”Kære kunde
Vær opmærksom på, at din pakke venter på levering.
Bekræft betalingen 14,91 DKK på nedenstående link.
Bemærk: Bekræftelse Processen skal udføres inden for de næste 05 dage.
Klik på følgende link:
…”
Klageren har oplyst, at hun ventede på en pakke, som hun havde bestilt i november 2020. Den ene af de to ting, som hun havde bestilt, ankom efter et par måneder, men der manglede en ting. Derfor passede det, at P opkrævede et manglende beløb.
Efter at hun havde klikket på linket og indtastet sine kortoplysninger, blev hun bedt om at godkende betalingen med NemID. Hun godkendte en betaling på 14,91 kr. Der skete herefter ikke noget, og hun tog derfor et foto af betalingen, hvis hun nu alligevel ikke havde betalt. Hun opdaterede siden og så – i ca. tre sekunder, at beløbet var ændret til et langt højere beløb. Så forsvandt siden fra hendes telefon, og hun så på NemID’s forside.
Klageren har oplyst, at hun straks ringede og spærrede sit NemID og sin konto.
Den 29. april 2021 blev der hævet et beløb på 13.429,24 kr. på klagerens konto. Betalingsmodtageren var et udenlandsk rejsebureau.
Klageren har oplyst, at hun umiddelbart herefter gjorde indsigelse mod transaktionen over for banken.
Banken har oplyst, at transaktionen blev foretaget med sikkerhedsløsningen 3D Secure, idet betalingen var godkendt i klagerens NemID-nøgleapp.
Banken har fremlagt en udskrift fra Nets med den tekst, som klageren fik præsenteret i NemID-nøgleappen. Følgende tekst fremgår af udskriften:
”Betal 13429,24 DKK til [F] fra kort xx7884”
Den 11. maj 2021 skrev banken til klageren, at hendes tab fratrukket 8.000 kr. blev godtgjort svarende til 5.429,24 kr.
Den 16. maj 2021 indbragte klageren sagen for Ankenævnet.
Klageren har under sagen fremlagt en udskrift af et skærmbillede ”Bekræftelse med NemID”, hvoraf fremgår, at hun skulle godkende en betaling på 14,91 kr. til P på mobil/tablet. Følgende fremgik ligeledes: ”Din anmodning er klar til godkendelse i dine nøgleapps på mobil/tablet.”
Parternes påstande
Klageren har nedlagt påstand om, at Sydbank skal godtgøre hende hele transaktionen og dermed betale 8.000 kr.
Sydbank har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at hun ikke bør hæfte for transaktionen.
Hun var i god tro, idet hun ventede på en pakke, som hun havde bestilt i november 2020. Derfor passede det, at P opkrævede et manglende beløb.
Hun godkendte en betaling på 14,91 kr., jf. den udskrift, som hun har vedlagt. Da hun opdaterede siden, ændrede beløbet sig til et meget større beløb. Hun vidste først da, at der var noget galt.
Hun handlede så hurtigt, hun kunne, da hun opdagede, at der var tale om svindel. Hun spærrede straks sit NemID og sin konto, men på trods af dette blev pengene efterfølgende trukket på hendes konto.
Sydbank har anført, at klageren har muliggjort betalingen af 13.429,24 kr. til F ved groft uforsvarlig adfærd, jf. betalingslovens § 100, stk. 4, nr. 3. Klageren hæfter derfor for 8.000 kr. af tabet. Banken har opfyldt sine forpligtelser efter betalingsloven ved at godtgøre klageren 5.429,24 kr.
Klageren burde have bemærket og undret sig over, at afsender af mailen var en udenlandsk mailadresse. Hvis klageren var i tvivl, om mailen vedrørte den manglende pakke, burde hun have kontaktet sælgeren.
Klageren befandt sig ikke i en presset situation svarende til f.eks. den situation, hvor misbrug sker i forbindelse med en telefonisk henvendelse.
Uanset at klageren blev præsenteret for et skærmbillede, hvor det fremgik, at der skulle betales 14,91 kr., fremgik det klart og tydeligt af teksten i nøgleappen, at klageren godkendte en betaling på 13.429,24 kr. til F. Klageren valgte, uanset teksten i nøgleappen, at godkende betalingen.
Ankenævnets bemærkninger
Klageren har gjort indsigelse mod en transaktion på 13.429,24 kr. til et udenlandsk rejsebureau, F.
Om baggrunden for transaktionen har klageren oplyst, at hun ventede på en pakke, som hun havde bestilt i november 2020. Derfor passede det, at P opkrævede et manglende beløb. Hun modtog en mail fra P med oplysning om, at hun skulle betale 14,91 kr. Hun ville herefter godkende en overførsel på 14,91 kr. med sit NemID. Hun godkendte en betaling på 14,91 kr. Der skete herefter ikke noget. Da hun opdaterede siden, var beløbet ændret til et langt højere beløb. Så forsvandt siden fra hendes telefon, og hun så på NemID’s forside.
Banken har oplyst, at den omtvistede betaling med klagerens betalingskort blev fore-taget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.
Klageren har anført, at hun ikke godkendte betalingen af 13.429,24 kr. til F.
Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.
Ankenævnet finder videre, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.
Efter lov om betalinger § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.
Tre medlemmer - Henrik Waaben, Inge Kramer og Jimmy Bak – udtaler:
Vi lægger til grund, at klageren må have godkendt betalingen på 13.429,24 kr. i sin NemID-nøgleapp.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da klageren burde have reageret på teksten i NemID-nøgleappen, hvor klageren fik oplysninger om, at der var tale om en overførsel af 13.429,24 kroner til F.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer - Morten Bruun Pedersen og Jørn Ravn – udtaler:
Som nævnt ovenfor finder Ankenævnet, at der er tale om svindel fra tredjemands side.
Vi finder ikke, at klageren har udvist groft uforsvarlig adfærd, idet der må være tale om systemfejl, når beløbet kunne ændre sig efter godkendelsen. Banken har dermed ikke godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi stemmer derfor for, at klageren får medhold i klagen.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.