Indsigelse mod korttransaktion vedrørende køb hos en udenlandsk internetforretning gennemført som en ”3D Secure” betaling.

Sagsnummer:176/2020
Dato:30-09-2020
Ankenævn: Vibeke Rønne, Andreas Moll Årsnes, Morten Bruun Pedersen og Søren Geckler
Klageemne:Betalingstjenester - fjernsalgstransaktioner
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod korttransaktion vedrørende køb hos en udenlandsk internetforretning gennemført som en ”3D Secure” betaling.
Indklagede:Bank Norwegian
Øvrige oplysninger: IF
Senere dom:
Pengeinstitutter

Klager medhold.

Indledning

Sagen vedrører indsigelse mod en korttransaktion vedrørende et køb hos en udenlandsk internetforretning gennemført som en ”3D Secure” betaling.

Sagens omstændigheder

Klageren havde et kreditkort, der var udstedt af Bank Norwegian. Til kortet var der knyttet en kredit på 75.000 kr.

Af en transaktionsliste indhentet via bankens leverandør, Evry, fremgik, at der lørdag den 28. marts 2020 kl. 17:27:00 blev autoriseret en transaktion på 3.799 GBP vedrørende et køb hos en udenlandsk internetforretning, G, med klagerens kreditkort.

Ifølge oplysninger fra Evry blev købet gennemført ved indtastning af en engangskode, som den 28. marts 2020 kl. 17:26:10 var blevet sendt med SMS til klagerens telefonnummer via sikkerhedsløsningen 3D Secure/Verified by Visa. SMS-teksten var følgende:

”Engangskode [kode]. Til brug for køb på 3.799,00 GBP hos [G]. Kontroller, at beløb og brugersted er korrekt.”

Klageren har fremlagt et skærmprint fra sin mobiltelefon af SMS-beskeder modtaget i perioden fra den 22. marts 2020 til den 30. marts 2020. Den omtalte SMS af 28. marts 2020 fremgik ikke af printet.

Klageren har oplyst, at han den 20. april 2020 gennemgik transaktionerne på sit Bank Norwegian kort med forfaldsdato den 1. maj 2020 og opdagede, at der var hævet et beløb på 32.429,09 DKK til G, som han ikke kendte noget til. Han spærrede straks sit kreditkort hos banken.

Den 22. april 2020 gjorde klageren over for banken indsigelse mod betalingen og anførte, at han aldrig havde udført eller givet tilladelse til, at den omtvistede transaktion kunne belastes hans kort. Klageren oplyste, at hans kort ikke var mistet/stjålet, men der var tale om en ukendt transaktion. Om hændelsesforløbet oplyste han:

”På min faktura med forfaldsdato 01.05.2020 som jeg modtog på min mail den 16.04.2020 opdagede jeg en transaktion som ikke er udført af mig !!

Tilsyneladende er der købt musik udstyr på en webshop [G] i UK den 28.03.2020 og betalt med mit Visa kort fra Norwegian Bank.

[G] er underrettet og har også modtaget vedlagte dokumentation. …]

Ved en mail af 20. april 2020 til G bad klageren om nærmere oplysninger om transaktionen foretaget med hans kort, og ved en mail af 23. april 2020 til klageren svarede G:

There are no orders or transactions in our system that matches this info, my advice is to call your bank and the police if necessary.”

Ved en mail samme dag til G oplyste klageren, at han havde videresendt G’s svar til banken, og at banken muligvis ville kontakte G.

Ved en mail af 24. april 2020 til klageren oplyste G endvidere følgende:

”This transaction is probably a fraud as you say, so I would advise you to also contact the police.

This has happened before where criminals use our name, if your email has been hacked and they have access to your bank/card details I would also recommend a better anti virus on your device.”

Banken sendte den 27. april 2020 klageren en mail med en kopi af den SMS kode, der var sendt til klagerens telefonnummer den 28. marts 2020 via sikkerhedsløsningen 3D Secure/Verified by Visa og bad om en redegørelse for, hvorledes en uvedkommende kunne have benyttet hans kortoplysninger sammen med en sikker betalingsløsning. Ved en mail af 27. april 2020 til banken oplyste klageren følgende:

” Jeg har ikke modtaget en sms med en verifications kode fra VISA den 28.03.2020 på min mobil [telefonnummer] !

Billede vedlagt af min mobilskærm visende de sms’er, som jeg har modtaget omkring denne periode.

Havde jeg set en sms med et verifications request af et sådant beløb, så hav[d]e jeg kunnet reagere prompte på dette.

Kreditkort og mobiltelefon var begge i min besiddelse den 28.03.2020. Min mobil er beskyttet med et password, som kun jeg kender.

På grund af covid-19 situationen har jeg med højst sandsynlighed befundet mig på min adresse […] den 28.03.2020 hele dagen, hvor min tegnebog med kreditkort og telefon også befandt sig.

Jeg går aldrig nogen steder uden at medbringe begge dele.

Jeg bor i øvrigt alene på adressen og havde heller ikke besøg denne dag.”

Den 7. maj 2020 afviste banken indsigelsen og anførte, at den holdt klageren ansvarlig for det omtvistede beløb.

Banken har fremlagt sine Aftalevilkår for kreditkort – forbrugervilkår, hvoraf følgende blandt andet fremgik:

” … 11. Beskyttelse af kort og kode. Anmeldelse ved tab

Kortet er personligt og må ikke overdrages eller på anden måde overlades til eller bruges af andre end den person, det er udstedt til. Kortindehaveren skal sikre, at uvedkommende ikke får adgang til kortet. Kortindehaveren skal træffe alle rimelige forholdsregler for at beskytte de personlige sikkerhedsforanstaltninger (f.eks. PIN-kode), der er knyttet til kreditkortet, så snart kortet er modtaget. Den personlige kode må ikke gives til andre personer, heller ikke til politiet eller Bank Norwegian, og må under ingen omstændigheder opbevares sammen med kreditkortet. I øvrigt må koden ikke anvendes under forhold, hvor andre kan se den. Kortindehaveren bør huske sin kode. Hvis kortholder har viden eller mistanke om, at kreditkortet er tabt eller at uvedkommende har fået kendskab til PIN-koden, skal kortholder underrette Bank Norwegian eller Bank Norwegians udpegede samarbejdspartnere straks. …

20. Ansvar for uautoriseret brug af kreditkortet

Bank Norwegian har ansvaret for uautoriserede hævninger eller anden belastning (betalingstransaktioner), hvis intet andet fremgår af bestemmelserne nedenfor. Betalingstransaktionen betragtes som uautoriseret, hvis kortindehaveren ikke har godkendt den før eller efter, at transaktionen er gennemført.

Efter betalingstjenesteloven § 62 hæfter kortindehaveren for op til 1.100 DKK for tab ved uautoriserede betalingstransaktioner, der skyldes, at kreditkortet er bortkommet eller er blevet stjålet, hvis den personlige kode eller anden lignende sikkerhedsforanstaltning er anvendt. Det samme gælder betalingstransaktioner, der skyldes, at en uvedkommende person er kommet i besiddelse af et kreditkort, og det er mislykkedes for kortindehaveren at beskytte den nævnte personlige sikkerhedsforanstaltning, og den er blevet brugt.

Efter betalingstjenesteloven § 62 hæfter kortindehaveren med op til 8.000 DKK ved uautoriserede betalingstransaktioner, hvis tabet skyldes, at kortindehaveren gennem grov uagtsomhed har undladt at opfylde en eller flere af sine forpligtelser i overensstemmelse med denne aftale. Hvis tabet skyldes, at kortindehaveren har handlet svigagtigt eller med forsæt har undladt at opfylde sine forpligtelser i henhold til denne aftale, skal kortindehaveren bære hele tabet.

Kortindehaveren har ikke ansvar for tab, der skyldes brug af et kreditkort, der er bortkommet, stjålet eller er faldet i de forkerte hænder, efter at kortindehaveren har underrettet Bank Norwegian i overensstemmelse med punkt 9, hvis ikke kortindehaveren har optrådt svigagtigt. …”

Parternes påstande

Den 14. maj 2020 har klageren indbragt sagen for Ankenævnet med påstand om, at banken skal tilbageføre beløbet på 32.429,09 DKK.

Banken har principalt nedlagt påstand om afvisning, subsidiært om frifindelse.

Parternes argumenter

Klageren har anført, at han ikke kan vedkende sig den omtvistede transaktion.

Han har ikke foretaget et køb hos G og opgivet sine kortoplysninger, og han har ikke modtaget noget. Han har heller ikke haft kendskab til eller bedt andre om at foretage indkøb på sit kreditkort. Han har heller ikke modtaget en SMS fra banken med en engangskode og har ikke indtastet en kode.

Efter at han kontaktede G vedrørende misbruget, meldte G tilbage, at hans kreditkort var blevet misbrugt.

Han har ligeledes anmeldt misbruget til politiet, da det stod klart, at banken ikke havde til hensigt at involvere politiet.

Han ved ikke, hvordan transaktionen er gennemført. Han har ikke, udover til faste automatiske hævninger hos få leverandører, videregivet kortoplysninger eller givet adgang til personlige oplysninger, og der er ikke andre, der har haft adgang til at benytte hans telefon.

Han bor alene, og han var alene på sin bopæl den 28. marts 2020 og havde sit kreditkort og sin mobiltelefon hos sig denne dag.

Det er ikke muligt for ham at godtgøre, at hans mobiltelefon er blevet hacket eller, at det skyldes en teknisk fejl, da han ikke har en IT viden, der muliggør dette. Han har fremsendt et print fra sin mobiltelefon, der viser, at han ikke har modtaget nogen SMS fra banken, og han har udfyldt en tro- og love erklæring på, at de afgivne informationer er korrekte.

Han modtager en del mails fra NetFlix, når der er nyt login på hans konto. Han åbner sjældent disse mails, da indholdet i dem er kendt. Han har imidlertid fundet en mail fra NetFlix med et ukendt login fra USA på sin NetFlix konto den 18. marts 2020. Det er ikke muligt at se, om der har været ukendte login på hans Netflix før denne dato, da mails slettes efter fire måneder.

Han mistænker, at informationer fra hans NetFlix konto kan være tilgået it-kriminelle, f.eks. hans navn, mobilnummer og e-mail adresse. Information som så har kunnet bruges til at få placeret malware til overvågning og opsnapning af data m.m. fra hans udstyr. Det kan heller ikke udelukkes at hans informationer er tilgået it-kriminelle fra datatyveri fra en website, hvor han har anvendt sit kreditkort

Bank Norwegian har til støtte for afvisningspåstanden anført, at det kun vil være muligt at træffe afgørelse i sagen efter en bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet bør derfor afvise sagen under henvisning til Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Til støtte for frifindelsespåstanden har banken anført, at den ikke er forpligtet til at tilbageføre beløbet, idet den omtvistede transaktion er autoriseret af klageren med en engangskode sendt til hans mobiltelefon via 3D Secure/Verified by Visa. Banken har sendt dokumentation for, at der er sendt en SMS til klagerens telefonnummer. Koden fra denne SMS var nødvendig, for at transaktionen kunne godkendes og gennemføres.

Kendskab til et mobiltelefonnummer er ikke tilstrækkeligt til at kunne overtage og modtage SMS’er, som er sendt til dette mobiltelefonnummer.

Det er ikke godtgjort, at der er tale om en uautoriseret transaktion. Kortnummer, udløbsdato og det trecifrede sikkerhedsnummer er oplyst. Transaktionen er autoriseret med en engangskode, som udelukkende er fremsendt til klageren på SMS.

Klageren nævner en teoretisk mulighed for, at hans telefon kan være blevet hacket. Klageren har ikke fremlagt dokumentation for, at hans konkrete mobiltelefon er hacket, er overtaget af uvedkommende eller for, hvornår dette skulle være sket.

Det er derfor mest sandsynligt, at SMS’en er sendt til klageren og modtaget, samt at koden er videregivet for at autorisere transaktionen. Det bemærkes, at det er muligt at slette SMS’er fra den af klageren fremlagte oversigt over modtagne SMS’er.

Beløb, valuta og salgssted fremgår tydeligt af SMS-teksten. Klageren har oplyst, at der ikke er andre, der har haft adgang til hans mobiltelefon.

Subsidiært mener banken, at klageren med forsæt har videregivet tilstrækkelige oplysninger til at gennemføre transaktionen. Den mest nærliggende forklaring er, at klageren har selv videregivet sine kortoplysninger og også engangskoden fra SMS’en, uanset at det af teksten i SMS’en klart fremgår, at koden godkender den påklagede betaling. Der er ikke fremlagt et troværdigt, alternativt hændelsesforløb. Klageren hæfter derfor for transaktionen, selv om Ankenævnet måtte komme frem til, at transaktionen er uautoriseret.

Mere subsidiært mener banken, at klageren skal hæfte med en egenandel på 8.000., da han har været groft uagtsom i videregivelsen af den personlige engangskode, som blev fremsendt på SMS.

Ankenævnets bemærkninger

Den 28. marts 2020 blev der autoriseret en betalingstransaktion på 3.799 GBP svarende til 32.429,09 DKK vedrørende et køb hos en udenlandsk internetforretning, G, med klagerens kreditkort, der var udstedt af Bank Norwegian.

Ankenævnet lægger til grund, at den omtvistede betaling skete ved brug af kortnummer, udløbsdato og det trecifrede sikkerhedsnummer samt ved brug af sikkerhedsløsningen 3D Secure ved anvendelse af en SMS-kode sendt til klagerens telefonnummer.

Ankenævnet lægger endvidere til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Klageren har bestridt at have modtaget og anvendt den pågældende SMS-kode. Klageren har anført, at han ikke har foretaget det pågældende køb. Han har anmeldt forholdet til politiet.

Internetforretningen, G, der var angivet som beløbsmodtager vedrørende den omtvistede betaling, har endvidere på forespørgsel fra klageren oplyst, at den ikke kendte til transaktionen.

Tre medlemmer – Vibeke Rønne, Morten Bruun Pedersen og Søren Geckler – udtaler:

Vi finder ikke grundlag for at tilsidesætte klagerens forklaring, der understøttes af G’s oplysninger og finder det herefter godtgjort, at transaktionen skyldes tredjemands misbrug/uberettigede anvendelse af klagerens kreditkort, og at misbruget også omfatter SMS-koden. 

Vi finder ikke grundlag for at fastslå, at klageren kunne have opdaget misbruget forud for den uberettigede anvendelse. Vi stemmer derfor for, at klageren ikke hæfter for transaktionen, jf. betalingslovens § 100, stk. 8.

Et medlem - Andreas Moll Årsnes, der i medfør af Ankenævnets vedtægter § 16, stk. 1, er tillagt to stemmer – udtaler:

Jeg finder, at en afgørelse af sagen forudsætter en bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Jeg stemmer derfor for, at Ankenævnet afviser sagen i medfør af Ankenævnets vedtægter § 5, stk.3, nr. 4.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Bank Norwegian skal inden 30 dage til klageren betale 32.429,09 DKK med valør fra datoen for debitering af transaktionen.

Klageren får klagegebyret tilbage.