Indsigelse mod korttransaktion vedrørende et køb hos en udenlandsk internetforretning gennemført ved brug af 3D Secure/Verified by Visa

Sagsnummer:137/2019
Dato:20-08-2019
Ankenævn:John Mosegaard, Andreas Moll Årsnes, Karin Duerlund, Ida Marie Moesby og Søren Geckler
Klageemne:Betalingstjenester - groft uforsvarlig adfærd
Betalingstjenester - ikke groft uforsvarlig adfærd
Ledetekst:Indsigelse mod korttransaktion vedrørende et køb hos en udenlandsk internetforretning gennemført ved brug af 3D Secure/Verified by Visa
Indklagede:Bank Norwegian
Øvrige oplysninger:OF
Senere dom:
Pengeinstitutter

Klager medhold.

Indledning

Sagen vedrører indsigelse mod korttransaktion vedrørende et køb hos en udenlandsk internetforretning.

Sagens omstændigheder

Klageren har et betalingskort hos Bank Norwegian.

Banken har oplyst, at der den 21. februar 2019 kl. 13.15.40 blev sendt en sms-kode til klagerens telefonnummer via sikkerhedsløsningen 3D Secure/Verified by Visa, og at der samme dag kl. 13.16.07 blev autoriseret en transaktion på 13.707,43 kr. vedrørende køb med klagerens kort hos en udenlandsk internetforretning, F.

Banken har fremlagt en oversigt over sms-koder sendt til klagerens telefonnummer, hvoraf fremgik, at der blev fremsendt en sms-kode den 21. februar 2019.

Klageren har fremlagt et skærmprint af sin mobiltelefon vedrørende sms-beskeder modtaget i perioden fra den 6. til den 26. februar 2019. Den omtalte sms af 21. februar 2019 med kode fremgik ikke af printet.

Klageren har oplyst, at hun blev bekendt med transaktionen den 18. marts 2019, og at hun straks derefter kontaktede banken, spærrede kortet og fremsatte indsigelse mod transaktionen.

Den 19. marts 2019 indgav klageren indsigelse til banken, der den 19. og 22. marts 2019 tilbageførte i alt 5.707,43 kr. til klageren.

Den 20. marts 2019 anmeldte klageren sagen til politiet.

Klageren har oplyst, at banken i forbindelse med hendes indsigelse svarede:

"Vi har nu færdigbehandlet din indsigelse.

Bank Norwegian dækker dit tab, men du holdes ansvarlig for en selvrisiko på 8.000 kr.

Vi vurderer, at du selv har videregivet de nødvendige oplysninger for at foretage et sikkert køb på internettet. Det kan evt. være sket ved, at du er blevet udsat for phishing.

Henset til den store mediedækning denne type svindel får, samt advarslerne imod at udlevere dine kort- og sikkerhedsoplysninger, er det vores opfattelse, at du selv har forårsaget tabet ved en groft uagtsom handling, da du har forsømt at beskytte dine kort- og sikkerhedsoplysninger. Du holdes derfor ansvarlig for en selvrisiko på kr. 8.000, jf.

betalingsloven § 100, stk. 4.

Verified by VISA

Den indklagede transaktion er foretaget med en sikker betalingsløsning over internettet (Verified by VISA). Ved et internetkøb med en sikker betalingsløsning har salgsstedet erhvervet ret til betalingen, Bank Norwegian har således ikke mulighed for at sende dit krav videre til VISA.

Som nævnt har vi sendt en SMS med en engangskode til dit telefonnummer. Vi har også fået bekræftet fra vores leverandør, at SMS'en er leveret til mobiltelefonen.

Bestillingen hos [F]

Vi kan oplyse, at vi ikke har flere oplysninger end dig, hvad angår bestillingen hos [F]. Vi kan se, at det er et tysk elektronik-firma, som bl.a. leverer computerudstyr. …”

Banken har fremlagt sine Aftalevilkår for kreditkort – forbrugervilkår, hvoraf det blandt andet fremgik:

”… 11. Beskyttelse af kort og kode. Anmeldelse ved tab

Kortet er personligt og må ikke overdrages eller på anden måde overlades til eller bruges af andre end den person, det er udstedt til. Kortindehaveren skal sikre, at uvedkommende ikke får adgang til kortet. Kortindehaveren skal træffe alle rimelige forholdsregler for at beskytte de personlige sikkerhedsforanstaltninger (f.eks. PIN-kode), der er knyttet til kreditkortet, så snart kortet er modtaget. Den personlige kode må ikke gives til andre personer, heller ikke til politiet eller Bank Norwegian, og må under ingen omstændigheder opbevares sammen med kreditkortet. I øvrigt må koden ikke anvendes under forhold, hvor andre kan se den. Kortindehaveren bør huske sin kode. Hvis kortholder har viden eller mistanke om, at kreditkortet er tabt eller at uvedkommende har fået kendskab til PIN-koden, skal kortholder underrette Bank Norwegian eller Bank Norwegians udpegede samarbejdspartnere straks. …

20. Ansvar for uautoriseret brug af kreditkortet

Bank Norwegian har ansvaret for uautoriserede hævninger eller anden belastning (betalingstransaktioner), hvis intet andet fremgår af bestemmelserne nedenfor. Betalingstransaktionen betragtes som uautoriseret, hvis kortindehaveren ikke har godkendt den før eller efter, at transaktionen er gennemført.

Efter betalingstjenesteloven § 62 hæfter kortindehaveren for op til 1.100 DKK for tab ved uautoriserede betalingstransaktioner, der skyldes, at kreditkortet er bortkommet eller er blevet stjålet, hvis den personlige kode eller anden lignende sikkerhedsforanstaltning er anvendt. Det samme gælder betalingstransaktioner, der skyldes, at en uvedkommende person er kommet i besiddelse af et kreditkort, og det er mislykkedes for kortindehaveren at beskytte den nævnte personlige sikkerhedsforanstaltning, og den er blevet brugt.

Efter betalingstjenesteloven § 62 hæfter kortindehaveren med op til 8.000 DKK ved uautoriserede betalingstransaktioner, hvis tabet skyldes, at kortindehaveren gennem grov uagtsomhed har undladt at opfylde en eller flere af sine forpligtelser i overensstemmelse med denne aftale. Hvis tabet skyldes, at kortindehaveren har handlet svigagtigt eller med forsæt har undladt at opfylde sine forpligtelser i henhold til denne aftale, skal kortindehaveren bære hele tabet.

Kortindehaveren har ikke ansvar for tab, der skyldes brug af et kreditkort, der er bortkommet, stjålet eller er faldet i de forkerte hænder, efter at kortindehaveren har underrettet Bank Norwegian i overensstemmelse med punkt 9, hvis ikke kortindehaveren har optrådt svigagtigt. …”

Parternes påstande

Den 27. marts 2019 har klageren indbragt sagen for Ankenævnet.  Ankenævnet har forstået påstanden således, at Bank Norwegian skal tilbageføre 8.000 kr.

Bank Norwegian har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hendes kort er blevet misbrugt. Hun kender intet til F. Hun har intet modtaget fra F. Hun spærrede straks kortet og anmeldte sagen til politiet, da hun blev bekendt med transaktionen. Hun ved ikke, hvad der blev købt hos F, eller hvortil det købte blev sendt.

Hun modtog ikke en sms med en kode.

Hun har ikke handlet groft uansvarligt i brugen af sit kort og kan ikke acceptere en hæftelse for en egen andel på 8.000 kr. Hun har ikke videregivet sine kortoplysninger eller givet adgang til sine personlige oplysninger.

Hun har flere ganget ringet til F, som ikke kunne give hende oplysninger uden et ordre- eller kontonummer, hvilket hun ikke har, da hun ikke foretog købet. F må være i besiddelse af oplysninger, som F kan videregive til enten banken eller politiet. Banken eller politiet kan derved at finde ud af, hvor varen er sendt hen, og det kan dermed bevises, at hun ikke foretog købet.

Bank Norwegian har anført, at har anført, at transaktionen blev godkendt med engangskode sendt på sms fra Verified by Visa. Sms-koden er en personlig sikkerhedsforanstaltning. Sms-koden blev sendt til klagerens mobiltelefonnummer i umiddelbar forbindelse med transaktionen, og denne kode blev benyttet til at autorisere transaktionen. Telefonnummeret er tilknyttet det konkrete betalingskort.

Transaktionen var autoriseret, da klageren har indtastet sine kortoplysninger, betalingskortets trecifrede sikkerhedsnummer og den tilsendte sms-kode.

Klageren har handlet groft uforsvarligt, jf. lov om betalinger § 100, stk. 4, nr. 3.

Efter bankens opfattelse videregav klageren selv sine kortoplysninger, betalingskortets trecifrede sikkerhedsnummer og den tilsendte sms-kode til tredjemand. Det er ikke oplyst hvordan eller til hvem, klageren videregav sine oplysninger til. Klageren er nærmest til at oplyse sagen. Banken går ud fra, at klageren har været udsat for phishing, som kunne ske ved, at klageren trykkede på et link i en mail, opgav sine oplysninger over telefonen eller på en helt tredje måde.

Der har i længere tid været mange advarsler mod phishing både på Nets og NemIDs hjemmesider og i medierne generelt om, at man skal sørge for at se på mail-adressen og undlade at trykke på links i de modtagne e-mails.

Klageren har ikke i tilstrækkelig grad værnet om sine kortoplysninger og de personlige sikkerhedsoplysninger, jf. punkt 11 og punkt 20 i bankens aftalevilkår for kreditkort – forbrugervilkår.

Ankenævnets bemærkninger

Den 21. februar 2019 blev der autoriseret en betalingstransaktion på 13.707,43 kr. vedrørende et køb hos en udenlandsk internetforretning, F, med klagerens betalingskort, der er udstedt af Bank Norwegian.

Banken har oplyst, at transaktionen skete med såkaldt 3D Secure/Verified by Visa, det vil sige på grundlag af en sms-kode, som blev sendt til klagerens telefonnummer, hvilket er bekræftet af Nets, samt på grundlag af kortoplysninger og kortets trecifrede sikkerhedsnummer.

Det lægges til grund, at transaktionen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Klageren har bestridt, at hun skulle have modtaget eller anvendt den pågældende sms-kode.

Ankenævnet finder ikke grundlag for at betvivle klagerens oplysninger om manglende kendskab til F og det pågældende køb, og at hun ikke har modtaget eller anvendt sms-koden.

Ankenævnet finder det herefter godtgjort, at transaktionen skyldes tredjemands misbrug/uberettigede anvendelse af klagerens kort, og at misbruget også omfatter sms-koden.

Ankenævnet finder, at sms-koden var en personlig sikkerhedsforanstaltning til kortet, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Da der som anført ikke er grundlag for at betvivle klagerens oplysninger i sagen, finder Ankenævnet, at banken ikke har godtgjort, at der er grundlag for at pålægge klageren videregående hæftelse.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt i forbindelse med misbruget, hæfter klageren for 375 kr. af tabet, jf. betalingslovens § 100, stk. 3.

Ankenævnets afgørelse

Bank Norwegian skal inden 30 dage til klageren betale 7.625 kr. med valør fra datoen for debitering af transaktionerne.

Klageren får klagegebyret tilbage.