Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod transaktioner gennemført ved 3D Secure

Sagsnummer: 243/2019
Dato: 07-11-2019
Ankenævn: Vibeke Rønne, Inge Kramer, Peter Stig Hansen, Morten Bruun Pedersen, Poul Erik Jensen.
Klageemne: Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst: Indsigelse mod transaktioner gennemført ved 3D Secure
Indklagede: BankNordik
Øvrige oplysninger: OF
Senere dom:
Pengeinstitutter

Klager medhold.

Indledning

Sagen vedrører indsigelse mod korttransaktioner vedrørende køb, der blev gennemført med 3D Secure.

Sagens omstændigheder

Klageren havde en konto med et tilknyttet Visakort i BankNordik.

Den 1. november 2018 anvendte klageren Visakortet til et køb på 9 kr. via internettet. Klageren har oplyst, at købet vedrørte legetøj til hans børnebørn. Legetøjet blev aldrig leveret, og det har ikke siden været muligt at genfinde internetsiden.

Den 22. marts 2019 udfyldte og underskrev klageren et indsigelsesskema til banken, hvor han gjorde indsigelse mod seks transaktioner med Visakortet. Klageren anførte blandt andet, at han alene havde haft adgang til Visakortet, og at transaktionerne var ”ubekendte navne, som er dukket op på min konto, og som jeg ikke kan vedkende mig”. Banken refunderede fem af transaktionerne, men afslog at refundere én transaktion på 1.091,80 EUR, svarende til 8.228,68 kr., med den begrundelse, at den til kortet hørende personlige sikkerhedsforanstaltning var blevet anvendt.

I slutningen af marts 2019 udstedte banken et nyt Visakort til klageren.

Den 19. april 2019 udfyldte og underskrev klageren et indsigelsesskema til banken, hvor han gjorde indsigelse mod to transaktioner med det nye Visakort på henholdsvis 13.448,00 HKD, svarende til 11.587,03 kr., og 1.428,00 EUR, svarende til 10.770,36 kr. Klageren anførte blandt andet:

”…

Der blev trukket beløb på min konto ved hjælp af mit gamle dankort, hvorfor banken spærrede det og forklarede mig, at jeg skulle have et nyt dankort for at undgå fremtidigt misbrug.

Kort tid efter jeg havde modtaget det nye dankort, blev de to beløb i indsigelsen trukket fra min konto. Jeg har ikke brugt mit nye dankort på en måde, så det har kunnet aflæses eller kopieres.

…”

Banken afslog at refundere transaktionerne med den begrundelse, at den til kortet hørende personlige sikkerhedsforanstaltning var blevet anvendt.

Klageren var utilfreds med bankens afslag på at refundere transaktionerne på henholdsvis 1.091,80 EUR, 13.448,00 HKD og 1.428,00 EUR. Under sagen er der fremlagt parternes korrespondance herom i perioden 28. marts 2019- 29. maj 2019. Af korrespondancen fremgik blandt andet, at klageren havde anmeldt sagen til politiet, og at klageren i perioden 12. marts 2019 - 13. april 2019 havde modtaget i alt 19 sms-koder fra Nets på sin telefon. Sms’ernes ordlyd var:

”Din engangskode er: ###### til dit køb på [beløb] DKK hos [forretning eller hjemmeside]. Er du ikke i gang med onlinehandel, spær straks kortnr. ######!”

Banken har fremlagt udskrifter vedrørende transaktionerne. Udskrifterne viser blandt andet,

  1. at transaktionen på 1.091,80 EUR skete den 12. marts 2019 kl. 16.19.08, hvor den blev godkendt med en sms-kode, der var blevet sendt til klagerens telefonnummer samme dag kl. 16.18.31, og at transaktionen vedrørte Taxi- og limusinekørsel i Lacarna (Cypern)
  2. at transaktionen på 13.448,00 EUR skete den 2. april 2019 kl. 11.23.24, hvor den blev godkendt med en sms-kode, der var blevet sendt til klagerens telefonnummer samme dag kl. 11.22.33, og at transaktionen vedrørte Telekommunikationsudstyr i en online shop i Hong Kong, og
  3. at transaktionen på 1.428,00 EUR skete den 9. april 2019 kl. 09.44.02, hvor den blev godkendt med en sms-kode, der var blevet sendt til klagerens telefonnummer samme dag kl. 09.41.50, og at transaktionen vedrørte Taxi- og limusinekørsel i Lacarna (Cypern).

Parternes påstande

Den 20. juni 2019 har klageren indbragt sagen for Ankenævnet med påstand om, at BankNordik skal tilbageføre hele det tabte beløb på 30.586,07 kr. (8.228,68 kr. + 11.587,03 kr. + 10.770,36 = 30.586,07 kr.) til hans konto samt godtgøre ham overtræksrenter og andre eventuelle udgifter til banken i forbindelse med sagen.

BankNordik har nedlagt påstand om principalt afvisning, subsidiært frifindelse.

Parternes argumenter

Klageren har anført, at han ikke har kendskab til transaktionerne eller betalingsmodtagerne, og at han har ikke godkendt transaktionerne med sms-koder som han fik på sin telefon eller med nemid, hvilket heller ikke er dokumenteret af banken.

Det har ikke været muligt at finde de internetsider, hvor han skulle have indtastet de tilsendte koder.

Han er pensionist og 76 år. Han anvender ikke sin telefon meget, og kun meget sjældent skriver og læser han sms’er. Han har ikke pligt til at læse sms’er, der sendes til hans telefonnummer.

Det er usandsynligt, at han skulle have foretaget de pågældende betalinger, hvilket understøttes af hans økonomiske forhold og historikken på hans konto.

Taxifirmaet har dårlige anmeldelser på internettet og online shoppen i Hong Kong eksisterer ikke.

Banken bør oplyse fra hvilket telefonnummer og hvilken geografisk placering godkendelserne blev foretaget.

Antallet af sms’er, der er sendt fra Nets til hans telefonnummer både før og efter kortene er spærret, fra ukendte/ikke eksisterende udbydere på internettet tyder på, at der består et problem med bankens sikkerhedssystem. Endvidere blev det nye kort misbrugt så kort tid efter udstedelsen, at det meget sikkert kunne konstateres, at kortet ikke havde været anvendt på en måde, så det kunne kopieres eller aflures.

BankNordik har til støtte for afvisningspåstanden anført, at banken har dokumenteret, at transaktionerne er korrekt registreret og bogført og at de ikke har været ramt af tekniske svigt eller andre fejl, samt at den til kortene hørende personlige sikkerhedsforanstaltning er blevet anvendt i forbindelse med alle betalingstransaktionerne.

Banken har herudover dokumenteret at sms’erne med den personlige sikkerhedsforanstaltning er sendt til klagers telefonnummer.

Banken har hermed løftet bevisbyrden jf. betalingslovens § 98, stk. 1, og det må herefter være op til klager at bevise, at det ikke er ham, der har godkendt transaktionerne. Dette forudsætter en yderligere bevisførelse i form af parts- og vidneafhøringer, der ikke kan ske for Ankenævnet, men må finde sted ved domstolene. Ankenævnet bør derfor afvise at behandle klagen.

Til støtte for frifindelsespåstanden har BankNordik anført, at banken har dokumenteret, at transaktionerne er korrekt registreret og bogført og at de ikke har været ramt af tekniske svigt eller andre fejl, samt at den til kortene hørende personlige sikkerhedsforanstaltning er blevet anvendt i forbindelse med alle betalingstransaktionerne.

Banken har herudover dokumenteret at sms’erne med den personlige sikkerhedsforanstaltning er sendt til klagers telefonnummer.

Klageren har oplyst, at hans telefon har en adgangskode, som ingen andre kender, og det kan således alene være klageren selv – eller nogen som klager har overladt koderne til – der har godkendt betalingerne. Klager hæfter herefter for transaktionerne uden beløbsbegrænsning jf. betalingslovens § 100, stk. 2, første led og/eller stk. 5.

Klageren har modtaget 19 sms-beskeder, hvor han direkte bliver opfordret til, at spærre sit kort, hvis det ikke er ham, der er ved at foretage et online-køb. På trods heraf, har klageren ikke foretaget sig noget og har hverken spærret kortet, eller kontaktet banken. Af de 19 sms-beskeder blev 12 styk modtaget af klageren på et tidspunkt, der ligger efter den dato, hvor han indgav den første indsigelse. Klageren hæfter herefter for transaktionerne uden beløbsbegrænsning jf. betalingslovens § 100, stk. 2, andet led.

Hvis Ankenævnet mod forventning skulle komme til, at forholdet ikke er omfattet af betalingslovens § 100, stk. 2 eller 5, så må klager under alle omstændigheder hæfte med kr. 8.000,00 jf. betalingslovens § 100, stk. 4, nr. 1 og/eller 3.

Det bestrides, at der som påstået af klageren skulle være problemer med bankens sikkerhedssystemer. Banken bruger den samme IT-leverandør som 120 andre pengeinstitutter fra Danmark, Norge og Sverige, og der har ikke på noget tidspunkt været konstateret problemer med de anvendte sikkerhedssystemer.

Ankenævnets bemærkninger

Indledningsvis bemærkes, at Ankenævnet ikke finder, at sagen skal afvises.

I marts/april 2019 blev der autoriseret tre betalingstransaktioner svarende til i alt 30.586,07 kr. med klagerens Visakort, som er udstedt af BankNordik. To af transaktionerne vedrørte taxi- og limusinekørsel på Cypern og én transaktion vedrørte telekommunikation i en onlineshop i Hong Kong.

Banken har oplyst, at transaktionerne skete med såkaldt 3D Secure, herunder på grundlag af sms-koder, som blev sendt til klagerens telefonnummer.

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Klageren har bestridt, at han skulle have anvendt de pågældende sms-koder. Klageren har anført, at han ikke har kendskab til betalingsmodtagerne eller de pågældende køb, og klageren har anmeldt forholdet til politiet.

Ankenævnet finder ikke grundlag for at betvivle klagerens oplysninger og finder det herefter godtgjort, at transaktionerne skyldes tredjemands misbrug/uberettigede anvendelse af klagerens Visakort, og at misbruget også omfatter sms-koderne.

Ankenævnet finder, at sms-koden er en personlig sikkerhedsforanstaltning til kortet, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Da der som anført ikke er grundlag for at betvivle klagerens oplysninger i sagen, finder Ankenævnet, at banken ikke har godtgjort, at der er grundlag for at pålægge klageren videregående hæftelse.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt i forbindelse med misbruget, hæfter klageren for 375 kr. af tabet, jf. betalingslovens § 100, stk. 3.

BankNordik skal herefter godtgøre klageren 30.211,07 kr. af tabet på 30.586,07 kr.

Ankenævnets afgørelse

BankNordik skal inden 30 dage til klageren betale 30.211,07 kr. med valør fra datoen for debitering af transaktionerne.

Klageren får klagegebyret tilbage.