Indsigelse mod hæftelse for misbrug af betalingskort som følge af klik på link i en falsk e-mail og indtastning af sms-engangskode efter aflæsning af koden på mobiltelefons forside uden åbning og læsning af den fulde sms-tekst.

Sagsnummer:18/2019
Dato:20-08-2019
Ankenævn:John Mosegaard, Andreas Moll Årsnes, Karin Duerlund, Ida Marie Moesby, Søren Geckler
Klageemne:Betalingstjenester - groft uforsvarlig adfærd
Betalingstjenester - ikke groft uforsvarlig adfærd
Betalingstjenester - ubegrænset hæftelse
Ledetekst:Indsigelse mod hæftelse for misbrug af betalingskort som følge af klik på link i en falsk e-mail og indtastning af sms-engangskode efter aflæsning af koden på mobiltelefons forside uden åbning og læsning af den fulde sms-tekst.
Indklagede:VestjyskBank
Øvrige oplysninger:OF
Senere dom:
Pengeinstitutter

Klager medhold.

Indledning

Sagen vedrører indsigelse mod hæftelse for misbrug af betalingskort som følge af klik på link i en falsk e-mail og indtastning af sms-engangskode.

Sagens omstændigheder

Klageren var kunde i vestjyskBANK, hvor hun har et Visa/Dankort. Den 2. oktober 2017 tilmeldte klageren kortet til sikkerhedsløsningen 3D secure.

Den 11. december 2018 modtog klagen en e-mail, der fremstod som om, den kom fra et flyselskab F, men som var falsk. Af e-mailen fremgik:

”Hej.

Vores firma fejrer, at der er gået 25 år, siden vi solgte vores første billet. Vi synes, at det er et øjeblik, der er værd at fejre og vil gerne ære vores kunder, der støtter os ved at booke hos vores firma.

Du og et par heldige andre er blevet udvalgt til at kunne drage fordel af denne unikke kampagne. For kun 80 DKK forærer vi en kupon væk, der kan bruges til at bestille to billetter til en hvilken som helst destination …

Kan du ikke vente? Klik her for at komme i gang

Kuponen er tilgængelig i et år fra udstedelsesdatoen. Linket vil være tilgængeligt i 48 timer, så du må hellere skynde dig.

… ”

Klageren har oplyst, at hun klikkede på linket, kom ind på en hjemmeside, der fremstod som F’s hjemmeside og indtastede sine kortoplysninger til brug for køb af to kuponer til i alt 160 DKK. Klageren har oplyst, at hun i forbindelse med betalingen modtog en sms-engangskode, som hun aflæste fra forsiden af sin telefon, og som hun indtastede uden at åbne og læse selve sms-teksten.

Banken har oplyst, at sms’en blev sendt den 11. december 2018 kl. 16.17, og at sms-teksten var følgende:

” Din engangskode er: [xxxxxx]

til dit køb på 24.449,00 SEK hos [en svensk internetforretning, E]

Er du ikke igang med onlinehandel, spær straks kortnr. xxx…!”

 

Den 13. december 2018 opdagede klageren, at der samme dag var trukket et beløb på hendes konto på 17.934,46 DKK. Beløbet vedrørte et køb på 24.449 SEK hos E.

Banken har fremlagt et eksempel på en opsætning/vindue med en meddelelse fra Nets, der fremkommer på den enhed til fjernkommunikation, som benyttes til at foretage et køb, og som indeholder oplysning om betalingsmodtager, transaktionsbeløb og et felt til indtastning af ”engangskode via SMS”.

Den 13. december 2018 spærrede klageren kortet.

Den 14. december 2018 anmeldte klageren sagen til politiet.

Den 17. december 2018 modtog klageren en e-mail, der fremstod som om, den kom fra F, med meddelelse om, at hun havde modtaget en kupon.

Af bankens brugerregler for Visa/dankort fremgik blandt andet:

”… 6 Sikre internetbetalinger

’Dankort Secured by Nets’ og ’Verified by Visa’ er en ekstra beskyttelse mod misbrug af kortdata ved handel på internettet. Sikkerheden består i, at du ved køb på internettet – udover kortet – skal benytte en engangskode, som du modtager fra Nets via SMS i forbindelse med betalingen. …

11.2 Hæftelse og selvrisiko

Hvis dit Visa/Dankort er blevet misbrugt af en anden person og der i den forbindelse er anvendt pinkode, skal du dække op til 375 kr. af det samlede tab. …

Du skal dække tab op til 8.000 kr. i tilfælde af, at dit Visa/Dankort har været misbrugt af en anden person og der i den forbindelse er anvendt pinkode, og …

* du med forsæt har overgivet pinkoden til den, der har foretaget den uberettigede anvendelse, uden at du indså eller burde have indset, at der var risiko for misbrug

* du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

11.3 Hæftelse for fuldt tab

Du hæfter for det fulde tab, hvis pinkoden har været anvendt i forbindelse med misbruget under flg. betingelser:

* Du har selv oplyst pinkoden til den som har misbrugt dit Visa/ Dankort OG

* Du indså eller burde have indset, der var risiko for misbrug.

Du hæfter endvidere for det fulde tab, hvis du har handlet svigagtigt eller med forsæt har undladt at opfylde dine forpligtelser i henhold til reglerne, herunder at opbevare kortet eller mobiltelefonen forsvarligt, at beskytte pinkoden, jf. afsnit 4, eller at spærre kortet, jf. afsnit 10. …”

Parternes påstande

Den 8. januar 2019 har klageren indbragt sagen for Ankenævnet med påstand om, at vestjyskBANK skal tilbageføre 17.934,46 DKK.

vestjyskBANK har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har blandt andet anført, at hun har været udsat for svindel.

Hun var i god tro. Hun havde tiltro til, at hun blev guidet sikkert gennem betalingen. Hun var sikker på, at hun fulgte den korrekte procedure. Det gjorde hende tryg, at der skulle indtastes kode fra Nets.

Hun anvender sådanne betalinger yderst sjældent og med meget stor forsigtighed.

Hun åbnede ikke sms'en, da koden, hun skulle bruge, var synlig i sms-overskriften. Hun var ikke klar over, at der stod yderligere tekst inde i sms’en. Hun har en standard telefon og har ikke forstand på ændring af standardopsætningen. Dette burde heller ikke være en forudsætning for at være sikret mod misbrug.

Svindlerne havde opbygget en meget troværdig hjemmeside, der fremstod som værende F’s. Både banken og Nets er enig i, at der er tale om svindel. F er bekendt med den falske hjemmeside og har anmeldt denne til sin it-kriminalitetsafdeling.

Det er Nets' og bankens ansvar at indrette betalingskortsystemet på en måde, der sikrer mod misbrug. Sikkerheden i systemet med sms-koder, der kan læses, uden at sms’en åbnes, er ikke betryggende. Hvis overskriften på forsiden af telefonen i stedet havde angivet, at man kunne finde koden ved at åbne sms’en, så ville man blive guidet automatisk ind til den fulde information.

Misbrug ved brug af et betalingskort i et lukket og sikkert system bør dækkes af banken/Nets, svarende til en forsikring.

Hun har været uvidende om, at der var risiko for misbrug og har krav på erstatning.

vestjyskBANK har anført, at klageren tydeligvis var opmærksom på risikoen for svindel i forbindelse med handel på internettet, idet hun ellers ikke ville have tilmeldt sig 3D secure systemet.

3D secure systemet fungerede perfekt, idet klageren modtog en sms, hvoraf det tydeligt fremgik, at klageren var i gang med at gennemføre et køb på 24.449,00 SEK hos E. I sms’en som klageren modtog, stod der intet om F.

3D secure systemet giver ikke mening, hvis modtageren af sms-beskeden om en igangværende transaktion vælger ikke at læse sms’en. Det er i den forbindelse uden betydning, hvad klageren har kunnet se på sin mobil i låst tilstand. Hvis klageren ikke læser sms-beskeden, er der ingen grund at til at være tilmeldt 3D secure systemet.

Antallet af linjer, som man kan se på telefonen på låst skærm, afhænger af de indstillinger, som man selv foretager på telefonen. Klagerens indstilling af sin mobiltelefon kan ikke lægges banken til last, ligesom det ikke kan lægges banken til last, at klageren valgte ikke at læse sms’en. Det beror endvidere alene på klagerens påstand, at hun ikke har læst hele sms’en. Banken har ingen mening om dette.

Sms-koden er et betragte som en personlig pinkode. Klageren videreformidlede selv koden og havde alle muligheder for at vide, at der var noget galt. Klageren indså eller burde have indset, at der var risiko for misbrug.

Klageren opfylder således betingelserne for at hæfte for betalingen uden beløbsbegrænsning ved at have udleveret koden i en situation, hvor klageren modtog en sms, hvoraf det klart fremgik hvilken transaktion, som klageren godkendte.

Ankenævnets bemærkninger

Klageren var kunde i vestjyskBANK, hvor hun har et Visa/Dankort. Den 13. december 2018 blev der debiteret 17.934,46 DKK på klagerens konto vedrørende et køb med kortet på 24.449 SEK hos en svensk internetforretning, E. Den samme dag spærrede klageren kortet.

Baggrunden for transaktionen var, at klageren den 11. december 2018 modtog en falsk e-mail, der fremstod som om, den kom fra et flyselskab, F, med tilbud om køb en kupon for 80 DKK til senere ombytning med to valgfrie flybilletter. Klageren har oplyst, at hun klikkede på et link i mailen, kom videre til en falsk hjemmeside, der fremstod som F’s hjemmeside, og indtastede sine kortoplysninger til brug for køb af to kuponer til i alt 160 DKK. I forbindelse med betalingen modtog klageren en engangskode fra Nets. Klageren har oplyst, at hun aflæste og indtastede koden fra forsiden af sin telefon uden at åbne og læse selve sms-beskeden. Klageren så derfor ikke, at der efter engangskoden stod ”til dit køb på 24.449,00 SEK” hos en svensk internetforretning og en opfordring til straks at spærre kortet, hvis klageren ikke var i gang med en onlinehandel.

Det lægges til grund, at transaktionen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at beta-leren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betale-ren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands mis-brug/uberettigede anvendelse af klagerens Visa/Dankort, og at misbruget også om-fatter sms-koden.

Ankenævnet finder, at sms-koden var en personlig sikkerhedsforanstaltning til kortet, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.

Ankenævnet finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter den udvidede ansvarsbestemmelse i betalingslovens § 100, stk. 5 er opfyldt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3 hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Tre medlemmer – John Mosegaard, Ida Marie Moesby og Søren Geckler– udtaler:

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4 er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for udformningen af sms-beskeden med engangskoden, herunder risikoen for, at koden kan aflæses uden den medfølgende tekst.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt hæfter klageren for 375 kr. af tabet på i alt 17.934,46 kr., jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal betale 17.559,46 kr. til klageren.

To medlemmer – Andreas Moll Årsnes og Karin Duerlund – udtaler:

Vi finder, at klageren har udvist groft uforsvarlig adfærd ved ikke i sin helhed at åbne og læse den fremsendte sms, der foruden engangskoden indeholdt oplysning om betalingsmodtager og transaktionsbeløb.  Vi stemmer derfor for, at klageren hæfter for 8.000 kr. af tabet på i alt 17.934,46 kr.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

 

vestjyskBANK skal inden 30 dage betale 17.559,46 kr. til klageren med valør på datoen for debitering.

Klageren får klagegebyret tilbage.