Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagsnummer: 295 /2021
Dato: 18-01-2022
Ankenævn: Henrik Waaben, Inge Kramer, Jimmy Bak, Morten Bruun Pedersen, Jørn Ravn.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Ledetekst: Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.
Indklagede: Nordea Danmark
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører en indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun havde et betalingskort.

Den 1. juni 2021 blev klagerens betalingskort anvendt til en betaling til et udenlandsk firma, F, på i alt 729.600 Vestafrikanske CFA-franc (XOF), svarende til 8.438,25 kroner, som klageren ikke kunne vedkende sig.

Om baggrunden for transaktionen har klageren oplyst, at hun afventede en pakke og modtog en SMS fra et postfirma, D, hvor hun blev bedt om at betale porto på 24 kroner. Hun indtastede sine kortoplysninger, og da hun trykkede ”OK”, dukkede der et NemID-vindue op, hvor hun indtastede sit NemID-login og kodeord og trykkede ”send”. NemID-appen på hendes iPhone kom aldrig frem, og hun godkendte ikke betalingen ved at swipe, og hun udleverede heller ikke sit NemID-nøglekort.

Samme dag kontaktede klageren Nets, som spærrede hendes kort.

Den 2. juni 2021 gjorde klageren indsigelse mod transaktionen over for banken. Klageren indsendte i den forbindelse en indsigelsesblanket med tro- og loveerklæring, hvor klageren blandt andet oplyste følgende:

”En transaktion på 8.355,51 kr. blev trukket d. 1/6 efter at jeg fik en fup sms fra noget der lignede trackingfirmaet [D]. Da jeg ikke har godkendt eller kender til denne transaktion, vælger jeg at gøre indsigelse.”

Den 4. juni 2021 blev en betaling på 8.438,25 kroner hævet fra klagerens konto.

Banken har anført, at transaktionen blev korrekt registreret og bogført og ikke var ramt af tekniske svigt eller andre fejl.

Banken har anført, at transaktionen blev godkendt med klagerens NemID og følgende blev swipet i NemID-appen som endelig godkendelse af følgende betaling: ”Betal 729600 XOF til [F] fra kort xx9047”.

Den 4. juni 2021 svarede banken på klagernes indsigelse. Banken anførte blandt andet følgende:

”Vi skriver, fordi vi nu har behandlet din indsigelse mod 8.438,25 kr.

Vi har undersøgt transaktionen, som du gør indsigelse mod, og vi kan se, at transaktionen er godkendt ved brug af NemID. Det vil sige, at der i forbindelse med købet er indtastet dit NemID brugernavn samt din adgangskode, og herefter er købet bekræftet via NemID app, hvor både forretningsnavn og beløb fremgik med følgende tekst: ”Betal 729600 XOF til [F] fra kort xx9047”.

Ud fra denne information og din egen forklaring er vi overbevist om, at du har været udsat for phishing.

Når dine personlige sikkerhedsløsninger som NemID eller SMS-koder er brugt til verificering af transaktionen, har du en selvrisiko på 8.000,00 kr.

Det betyder, at du selv hæfter for 8.000,00 kr., mens vi dækker 438,25 kr., som indsættes på din konto i dag.”

Den 5. juni 2021 klagede klageren over bankens svar. Følgende fremgik blandt andet af klagen:

”Vi gør hermed indsigelse mod jeres afgørelse, da vi ikke mener, at Nordea har gransket sagens akter i nogen som helst form for detaljer og dermed udlader afgørende beviser for, at jeg [navn]

  • ikke forsætligt har givet mine kortoplysninger og NemIDlogin til tredjemand
  • ikke på noget tidspunkt har ”swiped” i NemIDappen og dermed godkendt transaktionen
  • ikke blot er blevet phishet, men også har fået hacket min telefon, hvormed ”accept af betaling” er sket uden min indblanding.

Vi har haft fat i en IT-specialist samt fået adgang via NETS til transaktionsloggen og hermed en liste over vigtige fakta og resultater af undersøgelsen:

  1. 01.06.2021: Ca. 20:55
    Jeg sad over for mine forældre ved spisebordet, da jeg første gang forsøgte at ”betale de 24 kr.” Jeg indtastede kortnummer, udløbsdato, CVC. Da jeg trykkede ”OK” dukkede der, hvad der må have været en simulering af NemID-vinduet op, hvorefter jeg indtastede mit NemID-login og password og trykker ”Send”. NemID-appen på iPhone kom aldrig frem, og selv når jeg selv startede appen var der INGEN aktioner at godkende. Efter ca. 10 sekunder (med loading/vente symbol på skærmen) vendte den tilbage og [viste], at jeg skulle prøve igen og taste mit ID og password ind igen.
  2. På dette tidspunkt har svindlerene [franarret mig] mit kortnummer, CVC, udløbsdato, mit CPR nummer samt NemID fra mig. Men de har ALDRIG fået hverken mit NemID nøglekort eller fået mig til at swipe ([NemID-app] var inaktiv i hele seancen og alle efterfølgende seancer)
  3. Jeg prøvede det samme igen, hvor jeg trykkede ”Skift til nøglekort”, men så blev jeg blot sendt videre til en anden side, hvor web-siden ikke loades (error). Igen: Jeg indtastede/udleverede ALDRIG en eneste nøglekort-kode (blev aldrig indtastet)
  4. Min far ([navn]) og mor ([navn]) fulgte med i hele seancen og kan bevidne i en evt. retssag, at jeg på intet tidspunkt fik en anmodning i app’en og på intet tidspunkt swipede ”godkend” eller indtastede nøglekort kode.
  5. 01.06.2021: 21.04
    På dette tidspunkt har jeg ingen interaktion med min telefon – spiser resten af min mad sammen med mine forældre. Men kan se på NETS-loggen, at der nu sendes en notifikation til nøgleappen (registreret hos NETS via loggen) fra IP-adresse [x184] (Istanbul IP adresse) fra et Linux/Android11 styresystem i Istanbul. IT-eksperten kan spore, at den har været på et Vodaphone netværk – som jo ikke findes i Danmark – se yderligere sporingsdetaljer i appendix). Jeg modtager INGEN notifikationer på min mobil
  6. 01.06.2021: 21:05
    Her bliver ”transaktionen accepteret i nøgleapp” ifølge NETS log – igen til en transaktion fra [x184]. Igen: Mine forældre kan bevidne, at jeg på intet tidspunkt havde min NemID-app åben ELLER fik notifikationer omkring en [godkendelse] ELLER swipede ”godkend”
  8. 01.06.2021: 22:15 (ca.)
    Jeg er nu sammen med min kæreste (ny IP-adresse: [x42.1]) og forsøger de næste 5 min. Igen at betale de 24 kr. via min MacBook. Jeg åbnede igen linket, indtastede kortnummer, CVC,….. NemID login information og trykkede til sidst ”Send” (til NemID-app) og resultatet var det samme: ingen trigger på NemID-app = ingen mulighed for at swipe/godkende.
  9. Her begynder jeg at tænke, at der måske er noget galt/at jeg er blevet bedraget. Man kan også se på log fra NETS, at der ikke registreres aktivitet.
  10. […] Jeg ringer med det samme til NETS og de spærrer mit kort.
  11. 01.06.2021: 22:24
    Med NETS på telefonen guider de mig til at få ændret mit login og password til NemID. Dette lykkedes på normal vis og ved at konfirmere med ”swipe” på App’en. Ses på loggen som notifikation sendt +transaktion accepteret kl. 22:27. Dette viser, at nogen enten har hacket min nøgle-app eller min iPhone IOS styresystem. Dette skal vise sig at være SIDSTE gang, at App’en virker.

…”

Den 16. juni 2021 fastholdt banken, at klageren hæftede for 8.000 kroner.

Klageren har fremlagt en hændelseslog for NemID med beskrivelse af hændelser i perioden 1. juni til 4. juni 2021 samt oplysninger om sporing af IP-adressen x184. 

Banken har fremlagt sine Regler for Nordea Pay, hvor det af afsnit 10.1.2., blandt andet fremgår:

”Du skal dække tab op til 8.000 kr. i tilfælde af, at dit kort har været misbrugt af en anden person og der i den forbindelse er anvendt en personlig sikkerhedsforanstaltning, og

  • du har undladt at underrette Nordea snarest muligt efter at have fået kendskab til, at kortet eller din mobiltelefon med wallet er bortkommet, eller at uberettigede har fået kendskab til den personlige sikkerhedsforanstaltning,
  • du med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at du indså eller burde have indset, at der var risiko for misbrug, eller
  • du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.”

Parternes påstande

Den 27. juni 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tage ansvar for at afklare sagens omstændigheder samt godtgøre hende hele transaktionen og dermed betale 8.000 kroner.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun ikke godkendte transaktionen.

Hun har gennemlæst logs fra Nets og talt med en hackerspecialist, og der er ingen tvivl om, at der blev installeret malware på hendes telefon via linket, som hun desværre trykkede på. Der er tale om software, som har omgået swipe-funktionen i NemID-nøgleappen.

Banken burde se nærmere på hendes telefon. Der skete mange andre ting på hendes telefon, som understøtter, at den blev hacket. Hendes telefonbog blev dubleret og hendes NemID-app fungerer ikke længere, på trods af at hun geninstallerede appen og har talt med Nets herom flere gange. Siden episoden har hun haft slukket telefonen, således at specialister vil kunne få den til gennemsyn.

Det er korrekt, at x059 er serienummeret til hendes NemID-nøgleapp, men det er installeret på IOS fra IP-adressen x184, hvilket er en IP-adresse fra Istanbul, som hun ikke kender til. På tidspunktet for transaktionen befandt hun sig på sin hjemmeadresse i Danmark, som har den faste IP-adresse x6.30. Hun er en helt almindelig bruger, der ikke bruger krypterede IP-adresser eller har brugt IP-adresser fra andre lande.

Hun har fremlagt dokumentation for, at tjenesteudbyder-agenten gør brug af en Android 11 og styreprogrammet Linux, hvilket mange hackere bruger til at afkode login og password. Ud fra alle hendes tidligere NemID-aktiviteter kan det yderligere ses, at hun kun gør brug af enten iPhone eller Macintosh med styreprogrammet Intel Mac OS X. På hendes iPhone under oversigt over enheder på hendes Apple-id kan man se, at hun aldrig har haft eller været tilknyttet med Apple-id til en Android af nogen slags. Dette er dokumenteret ved et foto fremlagt i sagen.

NemID-app'en er blevet kompromitteret, men ingen ønsker at se nærmere på det, hvilket risikerer at få store negative effekter for utallige andre uskyldige personer i Danmark. Hertil har hun mistet hele sin hårdt opsparede formue.

Hendes forældre overværede hele situationen, så i en eventuel retssag kan de bevidne, at hun på intet tidspunkt fik en anmodning i NemID-appen og på intet tidspunkt swipede ”godkend” eller indtastede nøglekort-kode.

Ifølge bankens netbanksaftale skal hun kun selv dække en mindre selvrisiko på 375 kroner, medmindre hun nærmest forsætligt har givet sine koder eller login med videre til de kriminelle – og det er ikke tilfældet.

Hun føler sig i den grad snydt og bedraget, og den store finansielle institution gemmer sig bag en log-fil, som jo på ingen måde beviser, at det er hende, der har swipet og dermed godkendt transaktionen. Det er for nemt blot at konstatere, at godkendelsen kom fra hendes telefon, og at det dermed må være hende, som har godkendt.

Nordea Danmark har anført, at den ikke har handlet ansvarspådragende.  

Ifølge klagerens forklaring modtog hun en SMS i anledning af, at hun skulle betale porto for et mindre beløb. Ikke desto mindre viser registreringerne i sagen, at hun efterfølgende gennemførte og godkendte betaling af det i sagen omhandlede væsentligt større beløb i en udenlandsk valuta og til en anden betalingsmodtager end anført i SMS’en.

Den omtvistede transaktion blev foretaget og godkendt af klageren selv, hvor hun, da hun swipede godkendelsen af betalingen, kunne se både beløb og beløbsmodtager. Klageren videregav således ikke personlige sikkerhedsoplysninger, herunder NemID-oplysninger, til tredjemand.

Det er uomtvistet, at det var klagerens NøgleApp-serienummer, som blev anvendt ved betalingen.

I forhold til IP-adresse og User Agent bemærkes, at disse informationer ikke vil være klagerens egne, idet både IP-adressen og User Agent hidrører fra den lokation, hvor købet foretages fra.

Forholdet i denne sag er principielt ikke omfattet af betalingslovens § 100, som omhandler uautoriserede transaktioner.

Ud fra klagerens forklaring om hændelsesforløbet må det antages, at hun, på trods af at registreringerne viser, at hun selv foretog og godkendte den omtvistede transaktion, har været udsat for et hændelsesforløb, som til en vis grad minder om phishing eller smishing. Phishing eller smishing er karakteristeret ved, at en svindler franarrer en person diverse personlige sikkerhedsforanstaltninger til vedkommendes betalingstjeneste med henblik på at misbruge betalingstjenesten.

Forholdet er under alle omstændigheder omfattet af betalingslovens § 100, stk. 4, og Regler for Nordea Pay, punkt 10.1.2, 3. afsnit, og det fastholdes på den baggrund, at klageren skal hæfte med 8.000 kroner for den omtvistede transaktion.

Ankenævnets bemærkninger

Klageren gjorde indsigelse mod en transaktion på 729.600 Vestafrikanske CFA-franc (XOF), svarende til 8.438,25 kroner, foretaget den 1. juni 2021 til et udenlandsk firma, F.

Om baggrunden for transaktionen har klageren oplyst, at hun afventede en pakke og modtog en SMS fra et postfirma, D, hvor hun blev bedt om at betale porto på 24 kroner. Hun indtastede sine kortoplysninger, og da hun trykkede ”OK”, dukkede der et NemID-vindue op, hvor hun indtastede sit NemID-login og kodeord og trykkede ”send”. NemID-appen på hendes iPhone kom aldrig frem, og hun godkendte ikke betalingen ved at swipe, og hun udleverede heller ikke sit NemID-nøglekort.

Banken har oplyst, at den omtvistede betaling med klagerens betalingskort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Klageren har anført, at hun ikke godkendte betalingen til F. Banken har bestridt dette.

Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning til kortet, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Tre medlemmer - Henrik Waaben, Inge Kramer og Jimmy Bak – udtaler:

Klageren har anført, at hun ikke godkendte transaktionen på 729.600 XOF til F. Banken har anført, at klageren godkendte transaktionen i sin NemID-nøgleapp. Klageren har endvidere anført, at hendes telefon blev hacket, og at transaktionen blev foretaget fra en IP-adresse i Istanbul, som hun ikke kender til. Banken har anført, at IP-adressen ikke vil være klagerens egen, fordi den hidrører fra den lokation, hvor købet foretages fra.

Vi finder, at en afklaring af sagens nærmere omstændigheder, herunder en afklaring af hvordan transaktionen blev behandlet i Nets’ systemer, og hvorvidt klageren godkendte transaktionen i NemID-nøgleappen, samt betydningen heraf og en afklaring af det af klageren oplyste om hændelsesforløbet i øvrigt, vil forudsætte en bevisførelse i form af parts- og vidneforklaringer, som ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene, jf. § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Vi stemmer derfor for, at klagen afvises.

To medlemmer - Morten Bruun Pedersen og Jørn Ravn – udtaler:

Som nævnt ovenfor finder Ankenævnet, at der er tale om svindel fra tredjemands side.

Vi finder ikke, at klageren har udvist groft uforsvarlig adfærd, idet der må være tale om systemfejl, når beløbet blev trukket fra klagerens konto trods klagerens manglende godkendelse. Banken har dermed ikke godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi stemmer derfor for, at klageren får medhold i klagen.

Der træffes afgøres efter stemmeflertallet.

Påstanden om, at Nordea Danmark skal tage ansvar for at afklare sagens omstændigheder, afvises, da den ikke vedrører et konkret økonomisk mellemværende, jævnfør § 5, stk. 3, nr. 2, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.