Spørgsmål om hæftelse i medfør af lov om betalingstjenester for Visa/Dankort transaktioner, der blev gennemført som 3D-secure betalinger. Spørgsmål om overholdelse af 13 måneders frist i § 63 i lov om betalingstjenester og spørgsmål om passivitet.

Sagsnummer:475/2019
Dato:08-10-2020
Ankenævn:Vibeke Rønne, Morten Bruun Pedersen, Søren Geckler, Karin Sønderbæk og Inge Kramer
Klageemne:Passivitet - hæftelse
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - fjernsalgstransaktioner
Ledetekst:Spørgsmål om hæftelse i medfør af lov om betalingstjenester for Visa/Dankort transaktioner, der blev gennemført som 3D-secure betalinger. Spørgsmål om overholdelse af 13 måneders frist i § 63 i lov om betalingstjenester og spørgsmål om passivitet.
Indklagede:Sparekassen Kronjylland
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Klager medhold.

Indledning

Denne sag vedrører indsigelser fra klageren mod at hæfte for Visa/Dankort transaktioner, der blev gennemført som 3D-secure betalinger. Spørgsmål om overholdelse af 13 måneders frist i § 63 i lov om betalingstjenester og spørgsmål om passivitet.

Sagens omstændigheder

Klageren, der er født i 1993, er kunde i Sparekassen Kronjylland, hvor hun har en konto med et tilknyttet Visa/Dankort.

Den 1. december 2017 foretog klageren to betalinger på henholdsvis 1.500 kr. og 3.500 kr. til en spilletjeneste på internettet. Den 2. december 2017 modtog klageren en mail fra spilletjenesten, hvor der blandt andet stod:

”…

Der er lagt begrænsninger på din konto, indtil vi modtager og godkender de følgende dokumenter for at bevise ægtheden af dine personlige oplysninger.

  • En kopi af eventuelle kreditkort, som anvendes til indbetaling, både for- og bagside (dæk venligst de 8 midterste cifre på forsiden samt de 3 sikkerhedscifre på bagsiden)
  • En kopi af dit id, pas eller kørekort.

For at uploade de ønskede dokumenter skal du kopiere og indkopiere nedenstående sikre kasse-link direkte på din webbrowser og følge instruktionerne.

[link]

I mellemtiden vil eventuelle ventende udbetalinger, du har, blive holdt tilbage til behandling i 7 dage, hvorefter de vil blive returneret til din spillekonto.

Du vil få besked, når dine dokumenter er modtaget og verificeret.

…”

Den 4. december 2017 modtog klageren en mail, der fremstod som om, den kom fra Nets, men som var falsk. Af mailen fremgik blandt andet:

”…

Nets Denmark A/S <vip200@support.tlscontact.com>

Kære kunde hos Nets,

Vi informerer dig om, at dit kort er blevet blokeret efter en teknisk hændelse i vores kundedatabase, så du kan faktisk ikke bruge dit kort til følgende tjenester, før du aktiverer kortet igen:
# Pengeautomat
# Online betaling

For at fortsætte med at bruge dit kort som normalt, klik på linket herunder og følg vejledningen

…”

Samme dag, den 4. december 2017, blev der foretaget to transaktioner på henholdsvis 667,21 euro, svarende til 5.016,17 kr., og 13.657,46 kr. med klagerens kort. Klageren har fremlagt et print af tre SMS-engangskoder af ligeledes 4. december 2017. Teksten i SMS’erne var følgende:

”Din engangskode fra Nets er: [talkode]”

Både transaktionerne på 1.500 kr. og 3.500 kr. til spilletjenestesten og transaktionerne på 5.016,17 kr. og 13.657,46 kr., blev bogført på klagerens konto den 6. december 2017.

Sparekassen har oplyst, at klageren den 7. december 2017 henvendte sig telefonisk til sparekassens Fraud afdeling, at afdelingen afviste at godtgøre tabene, som var udført med 3D-secure, og at afdelingen opfordrede klageren til at kontakte firmaerne hvor de to beløb er overført til samt anmelde forholdet til politiet. Det er uoplyst, hvilke transaktioner henvendelsen vedrørte.

Sparekassen har videre oplyst, at transaktionerne er korrekt registreret og bogført, og at systemerne ikke har været ramt at teknisk svigt eller andre fejl jf. dagældende lov om betalinger § 64, stk. 1.

Den 8. december 2017 sendte klageren følgende mail til sparekassen:

”…

Jeg har nu kontaktet de to virksomheder og afventer svar.
Hvad kan jeg gøre mere nu?

Er der gjort alt, både fra bankens og Nets' side for at forsøge og stoppe transaktionen?

Er det korrekt forstået, at både Nets og banken mener, at jeg selv står til ansvar og skal betale det fulde beløb?

…”

Den 4. januar 2018 rykkede klageren for svar på mailen. Ved mail samme dag svarede sparekassen:

”…

Det er korrekt, at når kort oplysninger og sms kode fra Nets er anvendt til en transaktion, kan vi ikke lave chargeback (trække beløbet retur)

Man er som kortholder selv ansvarlig for hvem man afgiver sine oplysninger til (kort og sms kode)

…”

Sparekassen har oplyst, at sparekassens Fraud afdeling er ikke i besiddelse af udfyldt indsigelsesblanket eller tro- og loveerklæring i sagen.

Af bankens ”Regler for Visa/dankort” gældende fra den 1. februar 2017 fremgik blandt andet:

”…

6 Sikre internetbetalinger
Dankort Secured by Nets og Verified by Visa er en ekstra beskyttelse mod misbrug af kortdata ved handel på internettet. Sikkerheden består i, at du ved køb på internettet - udover kortet - skal benytte en engangskode, som du modtager fra Nets via SMS i forbindelse med betalingen. Engangskoden skal kun anvendes ved køb i internetforretninger, der anvender Dankort Secured by Nets eller Verified by Visa.

9 Tilbageførsel af betalinger, du ikke har godkendt
Hvis du mener, at der er gennemført en eller flere betalinger med dit Visa/Dankort, som du ikke har godkendt, medvirket til eller foretaget, skal du kontakte dit pengeinstitut snarest muligt efter, at du er blevet opmærksom på den uautoriserede transaktion. […]. Under alle omstændigheder skal du kontakte dit pengeinstituttet senest 13 måneder efter, at beløbet er trukket på din konto.

11 Dit ansvar ved misbrug af dit Visa /Dankort
11.1 I tilfælde af, at dit Visa/Dankort har været misbrugt af en anden person vil pengeinstituttet dække tabet, medmindre tabet er omfattet af afsnit 11.2 – 11.6 nedenfor. Det er dit pengeinstitut, der skal bevise, at tabet er omfattet af afsnit 11.2 – 11.6.

11.5 Du hæfter for det fulde tab, hvis PIN-koden har været anvendt i forbindelse med misbruget under følgende betingelser.

  • Du har selv oplyst PIN-koden til den som har misbrugt dit Visa/Dankort, og du indså eller burde have indset, at der var risiko for misbrug.

11.6 Du hæfter endvidere for det fulde tab, hvis du har handlet svigagtigt eller med forsæt har undladt at opfylde dine forpligtelser i henhold til reglerne, herunder til at opbevare kortet eller mobiltelefonen, til at beskytte PIN-koden, jf. afsnit 4, eller til at spærre kortet, jf. afsnit 10.

16 Klager
Hvis du har klager, kan du henvende dig til dit pengeinstitut. Får du ikke medhold i din klage, kan du henvende dig til Pengeinstitutankenævnet eller Forbrugerombudsmanden.

…”

Parternes påstande

Den 17. december 2019 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Kronjylland skal dække hendes tab.

Sparekassen Kronjylland har nedlagt påstand om principalt afvisning, subsidiært frifindelse.

Parternes argumenter

Klageren har anført, at sparekassen bør dække hendes tab.

Hun reagerede på mailen, der viste sig at være falsk, og modtog SMS-koder fra Nets. Hun skrev to koder, idet hun troede, at det var de to beløb, der skulle overføres til spilletjenesten. Det fremgik ikke af SMS’erne, hvilken transaktioner, koderne vedrørte.

Hun har tidligere oplevet, at sparekassen har stoppet overførsler til en spilletjeneste, da det ikke er normal adfærd fra hendes konto. Derfor var hun i den tro, at der her var tale om samme tilfælde, og faldt derfor for den falske e-mail, idet hun troede, det var det rigtige Nets, som kontaktede hende.

Hun fik ingen dækning fra bankens side, og ville derfor have undersøgt om det var rigtigt at hun selv skulle dække hele tabet. Sparekassens argument for dette var, at hun vidste, der var tale om kontanthævninger i det sekund hun indtastede en SMS fra Nets.

Hun har efterfølgende set, at Nets har ændret procedure, så man kan se beløbet samt hvilken virksomhed man er ved at handle med, når man får tilsendt en kode.

Sagen er ikke forældet. I forældelsesloven er fristen tre år.

Da hun kontaktede sparekassens Fraud afdeling, blev det ikke oplyst, at hun havde mulighed for at udfylde en indsigelsesblanket, hvis hun ikke var tilfreds med deres afgørelse.

Sparekassen Kronjylland har til støtte for afvisningspåstanden anført, at sagen er forældet og derfor bør afvises.

Af den dagældende lov om betalingstjenester § 63 fremgik, at indsigelser mod uautoriserede eller fejlbehæftede betalingstransaktioner ”skal være udbyderen i hænde snarest muligt og senest 13 måneder efter debiteringen af den pågældende betalingstransaktion.” Klagen blev modtaget i sparekassen den 7. december 2017 og sparekassen afviste klagen den 4. januar 2018. Der er således forløbet mere end 13 måneder fra sparekassens svar.

Fristen i lov om betalingstjenester § 63 er en absolut frist, som går forud for forældelsesloven.

Klageren har ikke reklameret over for sparekassens klageansvarlige, før hun efter cirka to år indgav klagen til Ankenævnet.

Til støtte for frifindelsespåstanden har sparekassen anført, at klageren hæfter fuldt ud for tabet, jf. den dagældende lov om betalingstjenester § 62, stk. 6, da klageren har muliggjort den uberettigede hævning. Klageren har selv afgivet sine personlige kortoplysninger samt kontrolkoder, idet en overførsel af beløbet i modsat fald ikke havde været mulig.

Klageren muliggjorde den skete overførsel ved at have indtastet de tilsendte SMS koder fra Nets. Koderne var en ekstra sikkerhedsforanstaltning, som alene skulle anvendes, når man var i færd med at overføre beløb. Klageren var imidlertid den 4. december 2017 netop ikke i færd med at overføre beløb, idet betalingerne til spilletjenesten var sket nogle dage forinden. Det må formodes, at klageren i den forbindelse havde modtaget to SMS-koder, som hun anvendte.

Klageren burde på baggrund af afsenderadressen vip200@support.tlscontact.com have indset, at mailen af 4. december 2017 var falsk.

Ved at trykke på linket og anføre alle kortinformationer og SMS-koder burde klageren endvidere have indset, at dette ikke var normalt, henset i øvrigt til mailen fra spilletjenesten, som klart angav, at kreditkortnummeret og sikkerhedscifre netop ikke skulle oplyses.  

Klageren var vant til at foretage handler på nettet, og burde derfor have vidst, at der ikke skal anvendes engangskoder, medmindre det er kortholder, der er i gang med, at foretage et køb. Klageren er i kraft af sin unge alder opvokset med digitale medier og herunder kort og netbank mv.

Sparekassens kunder er generelt oplyst om, at man skal passe på med at oplyse koder til uvedkommende, dette er blandt andet sket via bannere på netbank, hjemmesiden, facebook m.v.

Det er normal praksis, at der oplyses om muligheden for klageadgang, hvilke informationer tillige er tilgængelige via sparekassens hjemmeside.

Ankenævnets bemærkninger

Indledningsvis bemærkes, at Ankenævnet ikke finder, at sagen skal afvises.

Ankenævnet lægger til grund, at klagen vedrører to transaktioner den 4. december 2017 på henholdsvis 667,21 euro, svarende til 5.016,17 kr. og 13.657,46 kr. med klagerens Visa/Dankort, der var udstedt af Sparekassen Kronjylland.

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. den dagældende lov om betalingstjenester § 64, stk. 1.

Det lægges til grund, at transaktionerne blev gennemført på baggrund af, at klageren fulgte en opfordring i en mail af 4. december 2017, der fremstod som om, den kom fra Nets, til at genaktivere Visa/Dankortet, som ifølge mailen var blevet ”blokeret efter en teknisk hændelse i vores kundedatabase”, i hvilken forbindelse klageren videregav sine kortoplysninger og to engangskoder, som hun modtog pr. SMS.

Klageren har oplyst, at hun troede, at koderne vedrørte to transaktioner på henholdsvis 1.500 kr. og 3.500 kr. til en spilletjeneste på internettet, som hun foretog den 1. december 2017. Den 2. december 2017 havde klageren modtaget en mail fra spilletjenesten om ”begrænsninger” på hendes konto indtil noget nærmere angivet dokumentation var modtaget.

Transaktionerne på 1.500 kr. og 3.500 kr. blev bogført på klagerens konto den 6. december 2017. Ankenævnet finder derfor, at det må lægges til grund, at klageren ikke var bekendt med, at transaktionerne var gennemført, da hun den 4. december 2017, anvendte de to engangskoder, som hun samme dag modtog pr. SMS, og hvoraf der ikke fremgik oplysninger om hverken beløbsstørrelse eller beløbsmodtager.

Klageren gjorde den 7. og 8. december 2017 indsigelse mod transaktionerne på 5.016,17 kr. og 13.657,46 kr. over for sparekassen, og sparekassen afviste indsigelsen den 4. januar 2018. Ankenævnet finder derfor, at indsigelsen var udbyderen i hænde snarest muligt efter debiteringen af den pågældende betalingstransaktion, jævnfør den dagældende lov om betalingstjenester § 63. Klagerens indsigelse er ikke forældet efter forældelsesloven, hvorefter forældelsesfristen er tre år.

Ankenævnet finder ikke, at klageren har udvist retsfortabende passivitet.

Tre medlemmer – Vibeke Rønne, Morten Bruun Pedersen og Søren Geckler – udtaler:

Vi lægger til grund, at transaktionerne på 5.016,17 kr. og 13.657,46 kr., i alt 18.673,63 kr., skyldtes tredjemands misbrug/uberettigede anvendelse af klagerens Visa/Dankort.

Den omstændighed, at klageren har indtastet sine kortoplysninger, kan ikke i sig selv medføre, at hun hæfter for misbruget.

Vi finder, at SMS-engangskoden ikke er en personlig sikkerhedsforanstaltning i tilknytning til kortet, som omtalt i den dagældende lov om betalingstjenester § 62, jf. Folketingstidende 2008-2009 tillæg A, side 3558, hvoraf det fremgår, at der f.eks. kan være tale om en pinkode, fingeraftryk eller aflæsning af øjets iris, og at en underskrift ikke betragtes som en personlig sikkerhedsforanstaltning.

Vi finder herefter, at transaktionerne var uautoriserede betalinger, som klageren ikke hæfter for, jf. den dagældende lov om betalingstjenester § 61.

Vi stemmer derfor for, at klageren får medhold i klagen.

To medlemmer – Karin Sønderbæk og Inge Kramer – udtaler:

Fremgangsmåden for sikre internetbetalinger ved brug af engangskoder fra Nets er klart beskrevet i punkt 6 i sparekassens Regler for Visa/Dankort. På baggrund af det faktiske forløb, som klageren har beskrevet, og den viden klageren efter det oplyste har om nethandel, finder vi, at klageren med forsæt har undladt at opfylde sine forpligtelser efter kortreglerne. Klageren hæfter derfor for det fulde tab, jf. betingelserne i sparekassens Regler for Visa/Dankort punkt 11.6, andet led (svarende til § 62, stk. 1, sidste punktum i den dagældende lov om betalingstjenester).

Vi bemærker i denne forbindelse, at en SMS-engangskode må betragtes som en personlig sikkerhedsforanstaltning i tilknytning til kortet i lov om betalingstjenesters forstand (på samme måde som det er det efter lov om betalinger), når koden – som i 3D secure løsningen (Dankort Secured by Nets eller Verified by Visa) – er dannet som en ekstra personlig sikkerhedsforanstaltning ved brug af NemID, og hvor en betaling i en bestemt situation kræver brug af en sådan unik engangskode. Det fremgår i øvrigt af sparekassens Regler for Visa/Dankort, at en kortholder godkender (autoriserer) en betaling med kortet, når koden fra Nets bliver brugt ved køb på internettet.

Vi stemmer herefter for, at der ikke gives klageren medhold.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Sparekassen Kronjylland skal inden 30 dage tilbageføre transaktionerne på 5.016,17 kr. og 13.657,46 kr. til klagerens konto med valør den 6. december 2017.

Klageren får klagegebyret tilbage.