Indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af phishingmail.
| Sagsnummer: | 376/2022 |
| Dato: | 30-11-2023 |
| Ankenævn: | Vibeke Rønne, Jonas Thestrup Nielsen, Karin Sønderbæk, Tina Thygesen og Elizabeth Bonde. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af phishingmail. |
| Indklagede: | Danske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af phishingmail.
Sagens omstændigheder
Klageren var kunde i Danske Bank, hvor han havde et Visa/Dankort -79.
Den 2. august 2022 blev klagerens kort anvendt til en betaling på 828,99 EUR, svarende til 6.172,78 DKK, til en beløbsmodtager, F, som klageren ikke kan vedkende sig.
Om baggrunden for betalingen har klageren oplyst, at han modtog en mail fra PostNord, hvor der stod, at han skulle betale porto på 30,50 DKK, og har fremlagt en mail, hvor afsenderen er angivet som ”Postnord”, og hvoraf fremgår:
”din pakke venter på leveringinstruktioner
Kære kunde,
Der er en opdatering på din postnord pakke, varen er stoppet på grund af ubetalte toldgebyrer. Din pakke med sporingsnummer dk-98746545
venter på dig, og den vil blive leveret, så snart du har angivet dine leveringspræferencer.
Foretag venligst transaktionen på 30,50 DKK for at modtage din forsendelse så hurtigt som muligt.
Spor Bestilling”
Klageren har anført, at han alene betalte et beløb på 30,50 DKK.
Banken har oplyst, at betalingen blev godkendt med klagerens NemID, og har fremlagt en udskrift fra Nets’ systemer, hvoraf det fremgår, at følgende tekst blev sendt til klagerens NemID-nøgleapp:
”Betal 828,99 EUR til [F] fra kort xx1279”
Det fremgår endvidere, at betalingen blev foretaget den 2. august 2022 kl. 15:10 ved godkendelse med NemID fra en IP-adresse i Frankrig. Banken har oplyst, at i forbindelse med at klageren indtastede kortoplysningerne, blev han ført over til den IP-adresse som phishing-angrebet skete fra, som i dette tilfælde var i Frankrig. Henset til, at købet blev lavet fra Frankrig, var det denne IP-adresse, som blev lagret i NemID-loggen.
Banken har endvidere oplyst, at den ikke længere har adgang til NemID-loggen.
Banken har herudover oplyst, at betalingen blev trukket fra klagerens konto den 4. august 2022.
Af transaktionsliste fra Nets fremgår det, at betalingen ved bogføring blev opdelt i to dele på henholdsvis 549,99 EUR, svarende til 4.095,33 DKK og 279 EUR svarende til 2.077,45 DKK.
Banken har oplyst, at betalingen er godkendt som én transaktion, men at virksomheden senere har valgt at trække betalingen i to dele, hvoraf 4.095,33 DKK er videresendt som en 3D Secure betaling verificeret med NemID, og den anden som en almindelig internetbetaling (SSL) på 2.077,45 DKK.
Den 4. august gjorde klageren indsigelse mod begge beløb.
Banken tilbageførte 2.077,45 DKK til klageren svarende til beløbet, der var gennemført som en almindelig internetbetaling uden brug af stærk kundeautentifikation.
Parternes påstande
Den 17. september 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal tilbageføre beløbet til hans konto.
Danske Bank har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at han betalte en regning til P på 30,50 DKK, men at han, på grund af bankens og Visas utilstrækkelige softwaresikkerhed blev trukket for ca. 9.000 DKK.
Han så kun beløbet på 30,50 DKK, som han ”swipede” ja til.
Det er uforsvarligt af banken at have så utilstrækkelig programmering, at det er muligt at trække to meget større beløb end de 30,50 DKK, som han havde sagt ja til.
Danske Bank har anført, at klageren har været udsat for phishing, men at han selv har foretaget transaktionerne og autoriseret dem i sin NemID-app.
Transaktionerne er korrekt registreret og bogført og har ikke været ramt af tekniske svigt eller andre fejl.
Betalingen, herunder modtageren og transaktionsbeløb blev tydeligt vist til klageren, inden han swipede og autoriserede betalingen.
Klageren har handlet groft uforsvarligt og hæfter af den grund for op til 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.
Forretningen valgte efterfølgende at trække betalingen af to omgange, hvoraf den ene blev gennemført som 3D-secure betaling og den anden som almindelige SSL-internetbetaling.
Banken kan ikke oplyse hvad årsagen hertil er, da det er forretningens valg. Det er en mulighed for forretningen, når det godkendte beløb ikke er over en vis grænse.
Banken har valgt at godtgøre klageren for den del af betalingen, der blev gennemført som en almindelig internetbetaling, selvom han selv autoriserede den, da den gik igennem betalingssystemet som en betaling uden stærk kundeautentifikation.
Klageren er allerede godtgjort 2.077,45 DKK, og da det resterende beløb er under 8.000 DKK, skal banken ikke godtgøre klageren yderligere.
Banken lægger til grund, at købet og transaktionen blev foretaget fra en anden IP-adresse end klagerens sædvanlige, men det er bankens opfattelse, at IP-adressen er irrelevant i bedømmelsen, da banken lægger til grund, at der er tale om tredjemandsmisbrug, dog sådan at det falder ind under betalingslovens § 100, stk. 4, nr. 3, da klageren har handlet groft uforsvarligt ved at godkende en betaling, hvor beløb og modtager har været synlig i hans NemID-app.
Ankenævnets bemærkninger
Klageren var kunde i Danske Bank, hvor han havde et Visa/Dankort -79.
Den 2. august 2022 blev der med klagerens betalingskort foretaget en betaling på 828,99 EUR, svarende til 6.172,78 DKK, til en beløbsmodtager, F. Klageren oplyste, om baggrunden for transaktionen, at han modtog en mail fra et postfirma, P, vedrørende betaling af ubetalte toldgebyrer på 30,50 DKK.
Banken har oplyst, at betalingen er godkendt som én transaktion, men at virksomheden senere har trukket betalingen i to dele, hvoraf 4.095,33 DKK blev videresendt som en 3D Secure betaling verificeret med NemID, og de anden som en almindelig internet-betaling (SSL) på 2.077,45 DKK.
Klageren gjorde indsigelse over for banken, der godtgjorde klageren 2.077,45 DKK, svarende til den del af det samlede beløb, som ikke blev godkendt ved anvendelse af stærk kundeautentifikation, da den gik igennem betalingssystemet som en betaling uden stærk kundeautentifikation.
Klageren har anført, at han kun godkendte et beløb på 30,50 DKK.
Den omtvistede betaling med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).
Det fremgår af sagens oplysninger, at betalingen blev foretaget ved godkendelse med NemID fra en IP-adresse i Frankrig. Banken har oplyst, at i forbindelse med at klageren indtastede kortoplysningerne, blev han ført over til den IP-adresse som phishing-angrebet skete fra, som i dette tilfælde var i Frankrig. Henset til, at købet blev lavet fra Frankrig, var det denne IP-adresse, som blev lagret i NemID-loggen.
Tre medlemmer – Vibeke Rønne, Jonas Thestrup Nielsen og Karin Sønderbæk – udtaler:
Vi finder det godtgjort, at klageren har godkendt betalingen på 828,99 EUR i sin NemID-nøgleapp. Vi har herved lagt vægt på indholdet af udskriften fra Nets’ systemer.
Vi finder derfor, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i NemID-nøgleappen, hvor han fik oplysninger om beløbet på 828,99 EUR og beløbsmodtager. Klageren hæfter derfor for 549,99 EUR svarende til 4.095,33 kr., som er det beløb, der blev gennemført som 3D Secure betaling. Da klageren efter § 100, stk. 4, nr. 3 hæfter med op til 8.000 DKK, hæfter han for det fulde beløb.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Tina Thygesen og Elizabeth Bonde – udtaler:
Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre yderligere 3.720,33 DKK til klageren.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.