Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod en korttransaktion der blev gennemført som en 3D Secure betaling ved godkendelse i NemID-nøgleapp.

Sagsnummer: 333/2022
Dato: 21-04--2023
Ankenævn: Bo Østergaard, Jonas Thestrup Nielsen, Karin Sønderbæk, Morten Bruun Pedersen og Finn Borgquist.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod en korttransaktion der blev gennemført som en 3D Secure betaling ved godkendelse i NemID-nøgleapp.
Indklagede: Spar Nord Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod en korttransaktion, der blev gennemført som en 3D Secure betaling ved godkendelse i NemID-nøgleapp.

Sagens omstændigheder

Klageren var kunde i Spar Nord Bank, hvor hun havde et Visa/Dankort -9937.

Den 20. august 2022 blev klagerens kort anvendt til en betaling på 9.845 NOK til en beløbsmodtager, T, som klageren ikke kan vedkende sig.

Banken har oplyst, at transaktionen blev gennemført ved godkendelse i NemID-nøgleapp -8633.

Banken har fremlagt en udskrift fra Nets, hvoraf det blandt andet fremgår, at der den 20. august 2022 blev foretaget en betaling med betalingskort -9937 på 9.845 NOK til WWW.[T].NO fra en IP-adresse i Norge, som blev godkendt med NemID, og at der blev sendt følgende tekst til klagerens NemID-nøgleapp:

”Betal 9845,00 NOK til WWW.[T].NO fra kort xx9937”

Banken har fremlagt en udskrift fra NemID-portalen, hvoraf det blandt andet fremgår, at transaktionen blev godkendt i NemID-nøgleapp med serienummeret -8633 den 20. august 2022 kl. 14:57, at en ny hardware blev automatisk accepteret kl. 14:57, og at bruger blev autentificeret succesfuldt i forbindelse med 2-faktor login eller signering kl. 14:57. Aktiviteterne foregik fra den norske IP-adresse.

Klageren har oplyst, at hun på internettet købte noget salve, og at der derefter var nogle personer, der tiltvang sig adgang til hendes konto, og derved stjal 7.557,94 DKK ”maskeret som [T], der straks blev fjernet ved at svipe dette uvedkommende væk”. Dette var absolut ikke nogen form for godkendelse fra hendes side.

Den 23. august 2022 indgav klageren indsigelse vedrørende en transaktion på 9.845 NOK foretaget med klagerens Visa/Dankort den 20. august 2022. Hun anførte, at kortet havde været opbevaret i hendes pung, som lå i hendes taske, at hun første gang blev opmærksom på transaktionen den 23. august 2022, ved en push-up meddelelse på hendes telefon, at hun ikke har oprettet en Verified by Visa kode eller MasterCard SecureCode, at hun ikke på noget tidspunkt havde bekræftet sine kortoplysninger samt andre personlige oplysninger pr. mail, og at hun ikke kunne forstå, hvorfor der var blevet hævet penge.

Parternes påstande

Den 1. september 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Spar Nord Bank skal tilbageføre hendes tab.

Spar Nord Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun ikke har godkendt betalingen.

Hun købte på internettet noget salve, og derefter var der nogle personer, der tiltvang sig adgang til hendes konto, og derved stjal 7.557,94 DKK ”maskeret som [T], der straks blev fjernet ved at svipe dette uvedkommende væk”. Dette var absolut ikke nogen form for godkendelse fra hendes side.

Hun er ikke bekendt med, at hun har en selvrisiko på 8.000 DKK, hvilket hun ikke er blevet oplyst om på noget tidspunkt. Hun troede ikke, at bankerne havde, noget der hed selvrisiko.

Hun kan ikke forstå, at banken ikke har rettet henvendelse til hende, når så mange penge pludseligt bliver hævet fra et udenlandsk firma.

Spar Nord Bank har anført, at transaktionen er gennemført ved brug af klagerens personlige sikkerhedsforanstaltning, og at den er korrekt registreret og bogført og ikke har været ramt af tekniske svigt eller andre fejl. Der er anvendt stærk kundeautentifikation ved transaktionen.

Betalingen er oprettet af tredjemand, der ved mailphishing har fået adgang til klagerens personlige oplysninger.

Det kan lægges til grund, at klageren selv har godkendt transaktionen med den anførte ordlyd.

Klageren har ikke været under pres, da hun godkendte betalingen og har handlet groft uforsvarligt, da hun burde have reageret på teksten i sin NemID-nøgleapp om betaling af 9.845 NOK til en modtager, hun ikke kendte til.

Klageren hæfter derfor selv for op til 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnets bemærkninger

Klageren var kunde i Spar Nord Bank, hvor hun havde en konto med et tilhørende Visa/Dankort -9937.

Den 20. august blev klagerens kort anvendt til en betaling til en udenlandsk betalingsmodtager, T, på 9.845 NOK, som klageren ikke kan vedkende sig.

Banken har oplyst, at den omtvistede transaktion blev godkendt med klagerens NemID-nøgleapp med serienummeret -8633. Transaktionen blev foretaget fra en IP-adresse i Norge.

Klageren gjorde indsigelse mod transaktionen over for banken, der afviste indsigelsen.

Den omtvistede betaling med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Klageren har oplyst, at hun på internettet købte en salve, og at der derefter var nogle personer der tiltvang sig adgang til hendes konto, ”maskeret som [T], der straks blev fjernet ved at svipe dette uvedkommende væk”. Hun har anført, at hun ikke godkendte betalingen.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Tre medlemmer – Bo Østergaard, Jonas Thestrup Nielsen og Karin Sønderbæk – udtaler:

Vi lægger til grund, at klageren må have godkendt betalingen på 9.845 NOK i sin NemID-nøgleapp.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i NemID-nøgleappen, hvor hun fik oplysninger om beløbet på 9.845 NOK og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Finn Borgquist – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.