Indsigelse mod korttransaktion, der blev gennemført som en 3D Secure betaling ved godkendelse i NemID-nøgleapp.
| Sagsnummer: | 83/2022 |
| Dato: | 20-10-2022 |
| Ankenævn: | Bo Østergaard, Mette Lindekvist Højsgaard, Karin Sønderbæk, Tina Thygesen og Finn Borgquist |
| Klageemne: |
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod korttransaktion, der blev gennemført som en 3D Secure betaling ved godkendelse i NemID-nøgleapp. |
| Indklagede: | Danske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod en korttransaktion, der blev gennemført som en 3D Secure betaling ved godkendelse i NemID-nøgleapp.
Sagens omstændigheder
Klageren var kunde i Danske Bank, hvor han havde en konto med et tilhørende Visa/dankort.
Den 30. december 2021 blev klagerens kort anvendt til en betaling til en udenlandsk betalingsmodtager, F, på 1.351,70 EUR (10.203,74 DKK), som klageren ikke kan vedkende sig.
Banken har oplyst, at betalingen med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp. Følgende tekst blev sendt til klagerens NemId-nøgleapp:
”Betal 1351,70 EUR til [F] fra kort xxx565”
Banken har oplyst, at betalingen blev korrekt registreret og bogført, og at den ikke var ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.
Den 4. januar 2022 gjorde klageren indsigelse mod transaktionen på 1.351,70 EUR (10.203,74 DKK) over for banken. Klageren gjorde endvidere indsigelse mod to transaktioner foretaget den 30. december 2021 til en hotelbookingportal på henholdsvis 8.870,55 DKK (1.175,02 EUR) og -8.866,86 DKK (-1.175,02 EUR), som ikke er en del af klagesagen.
Af en hændelseslog for klagerens NemID fremgår, at der den 30. december 2021 blev accepteret tre transaktioner fra NemID-nøgleapp, serienr. -227, og at der den 25. januar 2022 blev accepteret to transaktioner fra samme NemID-nøgleapp, serienr. -227. Banken har oplyst, at klageren ikke har bestridt transaktionerne af 25. januar 2022.
Den 5. januar 2022 stillede banken følgende uddybende spørgsmål til klageren om transaktionen på 1.351,70 EUR (10.203,74 DKK), som klageren besvarede som følger:
”… I forbindelse med behandling af din indsigelse, har vi modtaget dokumentation om at korttransaktionen på 10.203,74 kr. [til F] er gennemført med verificering via ved brug af dit NemID. For at få en bedre forståelse af sagen beder vi dig derfor besvare disse spørgsmål:
- Har du givet koden til andre? Nej
- Venligst vedhæft alle relevante dokumenter du har til sagen (skærmprint af sms beskeden osv.) Vedhæftet
- Har du modtaget nogle mistænkelige opkald eller mails? Hvis ja fremsend venligst beskeden. Nej
- Er du for nyligt blevet bedt om at opdaterer personlige oplysninger /kort informationer via nettet? Nej
- Er du blevet bedt om at betale post omkostninger? Hvis ja fremsend venligst beskeden. Har slettet mailen
- Vi har brug for en beskrivelse af hvad der skete.
Jeg har ikke givet kopi af mit NemID kort eller oplysninger fra mit Visa kort videre til nogen.
Det hævede beløb på kr. 10.203,74 ses været hævet som et Visa træk.
Jeg har aldrig købt noget via portalen [F].
Tilsvarende er samme dag både hævet og indsat euro 1.175,02 via [hotelbookingportal] – som jeg tillige heller aldrig har haft købt noget hos. (hævet kr. 8.870,55 og indsat kr. 8.866,86)
Har disse 3 posteringer noget med hinanden af gøre ???
Jeg har virusprogrammer på min pc som automatisk bliver opdateret. Jeg mener ikke at min pc er blevet ”hacket”. …”
Banken afviste indsigelsen. Klageren fastholdt indsigelsen og anførte den 12. januar 2022:
” … jeg kan på ingen måde godkende den begrundelse for at afvise min indsigelse. Jeg havde tillid til at i kunne spore transaktionen, da jeg absolut ikke har udleveret hverken kort eller NemID, da det så må være ”hakket” men det regnede jeg med at i kunne opspore via bankudskrift, jeg havde ikke mulighed for at stoppe transaktionen da jeg ikke anede at min konto blevet ”hakket”. Derfor mener jeg bestemt at mit kort er blevet misbrugt.
Jeg har kontaktet [F] som har oplyst at en person ved navn [M] - det er hvad jeg har fået oplyst - har købt en rejse til Dubai med mine ”kortoplysninger”
Jeg håber inderligt at i tager sagen op igen, da I jo nok kan få flere oplysninger mht. intern bankoverførelse.
På tro og love erklærer jeg, at oplysningerne er korrekte. …”
Den 4. februar 2022 fastholdt banken sin afvisning, men tilbød at godtgøre klageren 2.203,74 DKK til fuld og endelig afgørelse af sagen.
Banken har fremlagt sine Regler for Visa/Dankort, hvoraf det bl.a. fremgår:
”… Du skal dække tab op til 8.000 kr. i tilfælde af, at dit Visa/Dankort har været misbrugt af en anden person og der i den forbindelse er anvendt personlig sikkerhedsforanstaltning, og …
- du ved groft uforsvarlig adfærd har muliggjort misbruget. …”
Den 24. februar 2022 indbragte klageren sagen for Ankenævnet.
Banken har under klagesagen godtgjort klageren 2.203,74 DKK, svarende til det påklagede beløb fratrukket 8.000 DKK.
Parternes påstande
Klageren har nedlagt påstand om, at Danske Bank skal tilbageføre den ikke vedkendte transaktion.
Danske Bank har nedlagt påstand om principalt frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at hans kort blev misbrugt. Han har hverken udleveret kort eller NemID, som må være blevet hacket.
Han havde ikke mulighed for at stoppe transaktionen, da han ikke anede, at hans konto var blevet hacket. Han regnede med, at banken kunne opspore transaktionen.
Han kontaktede F, som oplyste, at en person ved navn M havde købt en rejse til Dubai med hans ”kort oplysninger”.
Danske Bank har til støtte for frifindelsespåstanden anført, at klageren gennemførte transaktionen ved brug af sit Visa/dankort.
Betalingen blev godkendt ved brug af stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30, da klageren godkendte betalingstransaktionen ved brug af klagerens NemID oplysninger, jf. betalingslovens § 7, nr. 31.
Betalingen var korrekt gennemført og ikke ramt af tekniske svigt eller andre fejl i medfør af betalingslovens § 98, stk. 1.
Banken er forpligtet til at gennemføre en betalingstransaktion, såfremt den er autoriseret af kortholder. Banken havde derfor ikke mulighed for at standse betalingstransaktionen efter klagerens godkendelse af betalingen.
Sagen beror derfor på, om der er tale om en uautoriseret betalingstransaktion, eller om betalingen er foretaget af klageren selv/med klagerens samtykke. Det følger af betalingslovens § 82, stk. 1, at en autoriseret betalingstransaktion er kendetegnet ved, at betaleren har godkendt og givet samtykke til gennemførelse af transaktionen. Samtykke meddeles i den form, der er aftalt mellem kunden og banken. I den konkrete sag vil klagerens godkendelse af betalingstransaktionen foreligge i form af indtastning af kortoplysninger samt NemID oplysninger og nøglekoder.
Klageren har oplyst, at han hele tiden har haft sit Visa/dankort samt sine personlige sikkerhedsforanstaltninger i form af sit NemID brugernavn, adgangskode og NemID nøglekoder i sin besiddelse.
Klageren blev i forbindelse med initiering af betalingstransaktionen forud for godkendelsen præsenteret for en tekst, hvoraf den registrerede betalingsmodtager samt det omtvistede beløb fremgik. Klageren godkendte herefter betalingen ved brug af sine NemID oplysninger. Klageren har således ikke løftet bevisbyrden for, at der var tale om en betalingstransaktion, som ikke er foretaget af ham og med hans samtykke.
Det fremgår af hændelsesloggen, at notifikationen og godkendelsesanmodningen i forbindelse med den bestridte betalingstransaktion blev sendt til NemID-nøgleapp, serienr. -227, hvorfra klageren efterfølgende godkendte en anden transaktion, som han ikke har rejst indsigelse mod.
Klageren kan ud fra sagens konkrete omstændigheder have været udsat for phishing, hvorfor klageren derfor kun bør hæfte for 8.000 kr. i overensstemmelse med den nuværende praksis ved Ankenævnet, senest afgørelserne i sag nr. 323/2021 og 307/2021. Banken har godtgjort klageren den del af tabet, som banken var forpligtet til, ved at overføre 2.203,74 DKK til klagerens konto.
Danske Bank har til støtte for afvisningspåstanden anført, at en afklaring af sagens hændelsesforløb vil kræve yderligere bevisførelse i form af vidne- og/eller partsforklaringer og/eller sagkyndig bevisførelse, hvorfor Ankenævnet bør afvise sagen med henvisning til vedtægternes § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Den 30. december 2021 blev klagerens kort anvendt til en betaling til en udenlandsk betalingsmodtager, F, på 1.351,70 EUR (10.203,74 DKK), som klageren ikke kan vedkende sig. Betalingen blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.
Klageren gjorde indsigelse mod transaktionen over for banken. Han oplyste, at han ikke havde modtaget mistænkelige opkald eller mails, og at han ikke var bedt om at om at opdatere sine personlige oplysninger via nettet. Klageren oplyste endvidere, at han havde slettet en mail om at betale postomkostninger.
Banken har oplyst, at den omtvistede transaktion blev godkendt med NemID-nøgleapp, serie nr. 227, hvorfra klageren efterfølgende godkendte en anden transaktion, som han ikke har rejst indsigelse mod.
Banken har under klagesagen, som tilbudt forud for klagesagen, godtgjort klageren 2.203,74 DKK, men har fastholdt, at klageren hæfter for det resterende beløb på 8.000 DKK.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bog-ført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter be-stemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautenti-fikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet finder, at det som anført af banken må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen.
Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godt-gør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har mulig-gjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).
Tre medlemmer – Bo Østergaard, Mette Lindekvist Højsgaard og Karin Sønderbæk – udtaler:
Vi lægger til grund, at klageren må have godkendt betalingen på 1.351,70 EUR i sin NemID-nøgleapp.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har mulig-gjort den uberettigede anvendelse, da han burde have reageret på teksten i NemID-nøgleappen, hvor han fik oplysninger om beløbet på 1.351,70 EUR og beløbsmodta-ger, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Tina Thygesen og Finn Borgquist – udtaler:
Vi finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger et misbrug, herunder om der er tale om misbrug under sådanne omstændigheder, at klageren hæfter helt eller delvist for tabet, jf. betalingslovens § 100. Vi finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Vi stemmer derfor for, at Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.