Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing

Sagsnummer:79/2022
Dato:16-01-2023
Ankenævn:Vibeke Rønne, Morten Winther Christensen, Andreas Moll Årsnes, Jacob Ruben Hansen, Lisbeth Baastrup Burgaard
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing
Indklagede:Jyske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagens omstændigheder

Klageren var kunde i Jyske Bank, hvor hun havde en konto med tilhørende Visa/dankort.

Følgende fremgik af bankens kortbestemmelser for Dankort og Visa/Dankort:

”…

3.1 Betaling

Inden du godkender en betaling eller en hævning, skal du altid sikre dig, at beløbet er korrekt. Betalinger som du har godkendt, kan ikke tilbagekaldes.

10.2 Hæftelse og selvrisiko

Regler for din hæftelse er fastlagt i Lov om Betalinger… 

Hvis dit kort er blevet misbrugt af en anden person og der i den forbindelse er anvendt personlig sikkerhedsforanstaltning, skal du dække op til 375 kr. af det samlede tab.

Du skal dække tab op til 8.000 kr. i tilfælde af, at dit Dankort eller Visa/Dankort har været misbrugt af en anden person og der i den forbindelse er anvendt personlig sikkerhedsforanstaltning (f.eks. pinkode), og

Du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

…”

Klageren modtog den 6. januar 2022 en SMS fra INFOS, der så ud til at være fra en udbyder af pakkeforsendelser, og hvoraf det fremgik:

”Din pakke er i venteposition. Bekræft venligst ekstra forsendelsesgebyr på (27,27 DKK), før din pakke returneres: [link]”

Klageren har anført, at hun ventede en pakke, hvorfor SMS’en virkede troværdig. Hun trykkede på linket, som ledte til en hjemmeside, der angav at være fra en udbyder af pakkeforsendelser.  Igennem hele betalingsprocessen fremgik det, at hun skulle betale 27,27 DKK. Efter hun ved swipe godkendte beløbet, modtog hun en besked, hvoraf det fremgik, at 1.479,74 EUR var blevet betalt til en udenlandsk betalingsmodtager, S.  

Klageren kunne ikke vedkende sig betalingen til S på 1.479,74 EUR, svarende til 11.173,04 DKK.

Banken har oplyst, at betalingen med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp. Banken har fremlagt skærmbilleder fra Nets ACS Portal – (Nets autentifikationsportal), der blandt andet viser den tekst, der den 6. januar 2022 kl. 18:06:37 blev sendt til klagerens NemId-nøgleapp:

”Betal 1.479,74 EUR til [S] fra kort xx9785”

Af en hændelseslog fra NETS for klagerens NemID nr. -159 fremgår, at en betaling den 6. januar 2022 kl. 18:06:45 blev accepteret fra NemID-nøgleapp, serienr. -735.  

Banken har oplyst, at betalingen blev korrekt registreret og bogført, og at den ikke var ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.

Klageren har oplyst, at hun den 6. januar 2022 kontaktede bankens hotline og bad banken om at standse betalingen, men at banken afviste, at dette var muligt.

Klageren gjorde samme dag skriftlig indsigelse mod transaktionen over for banken og udfyldte bankens indsigelsesformular og tro- og loveerklæring.

Den 10. januar 2022 blev 1.479,74 EUR hævet fra klagerens konto og overført til S. Klageren har oplyst, at hun herefter anmeldte sagen til politiet.

Banken anmodede den 13. januar 2022 klageren om at indsende en kopi af den SMS, hun modtog fra INFOS. Banken ville herudover vide, om hun afventede en SMS og hvilken telefon hun havde anvendt. Banken behandlede klagerens indsigelse, hvorefter klageren modtog 11.173,03 DKK fratrukket 8.000 DKK, da klagerens personlige sikkerhedsforanstaltning var anvendt.

Parternes påstande

Den 21. februar 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal tilbageføre den ikke vedkendte transaktion.

Jyske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at banken ikke har håndteret hendes sag korrekt, da hun var blevet udnyttet af kriminelle, som havde misbrugt hendes betalingsinformation til at foretage en uberettiget betaling.

Det omtvistede beløb på 1.479,74 EUR fremgik først i hendes NemID-nøgleapp, efter at hun havde accepteret betalingen af 27,27 DKK. Beløbet på 1.479,74 EUR fremgik derfor ikke inden godkendelsen. Banken har ikke bevist, at hun havde modtaget en godkendelsestekst forud for hendes godkendelse af betalingen, hvoraf der fremgik, at hun betalte et beløb på 1.479,74 EUR til S. Bankens fremlæggelse af betalingsflowet fra NETS er ikke et bevis for, hvad hun så på sin skærm den 6. januar 2022.

Af metadataen til betalingsflowet fra NETS fremgik en række tidsangivelser. I én af disse stod der, at teksten ”Betal 1.479,74 EUR til [S] fra kort -9785” var synlig i 20 millisekunder. Ifølge faglitteratur herom var det ikke muligt for det menneskelige øje at se denne tekst, da den gennemsnitlige menneskelige reaktionstid på visuelle stimuli er på ca. 250 millisekunder.

Banken ignorerer det faktum, at IT-hackere kunne manipulere systemet og få det til at se ud som om, at betalingsflowet foregik efter standardprocedurerne.  

Hun kontaktede straks bankens hotline og anmodede banken om at standse betalingen, hvilket banken afviste var muligt. Banken påtog sig heller ikke at undersøge, hvor beløbet blev overført til. I stedet for at beskytte sine kunder mod at blive ofre for bedrageri tillod banken ved sine handlinger og vurderinger, at digital kriminalitet var mulig.

Jyske Bank har til støtte for dens frifindelsespåstand anført, at klageren fulgte et link via en falsk SMS-besked, indtastede sine betalingsoplysninger og som følge heraf godkendte betaling til en modtager, som hun troede var en udbyder af pakkeforsendelser, og hvor hun havde til hensigt at betale 27,27 DKK for udlevering af en pakke.

Klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30. Efter betalingsloven hæfter betaleren, medmindre videregående hæftelse følger af stk. 5, med op til 8.000 DKK for tab som følge af andres uberettigede anvendelse af betalingstjenesten, hvis betalerens udbyder godtgør, at den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Klageren ventede at modtage en pakke. Det var i den forbindelse meget usædvanligt, at man som pakkemodtager skulle betale for ”tillægsfragt” for modtagelse af en pakke, hvilket burde have skærpet klagerens opmærksomhed, da hun modtog en SMS om, at der skulle betales yderligere porto i forbindelse med modtagelsen af pakken. Klageren burde have udvist skærpet agtsomhed i forbindelse med godkendelsen af betalingen. Klageren befandt sig ikke i en presset situation, svarende til f.eks. den situation, hvor phishing sker i forbindelse med telefonisk kontakt med en svindler.

Klageren modtog i betalingsflowet et billede i NemID, hvoraf det klart fremgik, at klageren ikke var i færd med at betale 27,27 DKK i porto med sit Visa/Dankort, men at hun derimod var i færd med at godkende en betaling på 1.479,74 EUR til S. Havde klageren læst detaljerne for betalingen, som fremgik af NemID-billedet, netop inden hun godkendte betalingen, ville hun være blevet opmærksom på, at hun var i færd med at godkende en betaling på 1.479,74 EUR og ikke 27,27 DKK. Dette billede var synligt i otte sekunder fra kl. 18:06:37, hvor billedet blev vist til klageren og indtil klageren godkendte betalingen kl. 18:06:45. Det er ikke dermed korrekt, når klageren anfører, at godkendelsesbeskeden alene blev vist i 20 millisekunder. Betalingsflowet forløb i sekventielle skridt, hvorfor klageren ikke kunne komme videre til det næste skridt i betalingsprocessen, før det tidligere skridt var gennemført.

Klageren har været udsat for svindel i forbindelse med den i sagen omhandlede betaling. Klageren har dog i forbindelse med betalingens gennemførsel handlet på en sådan måde, at hun ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse af hendes betalingskort, hvorfor hun hæfter med 8.000 DKK af tabet, jf. betalingslovens §100, stk. 4, nr. 3.

Det følger af betalingslovens § 111, stk. 1, at en betalingsordre ikke kan tilbagekaldes, efter den er modtaget af betalerens bank. Betalingen blev godkendt på det tidspunkt, hvor den blev gennemført med NemID, og banken kunne dermed ikke tilbageføre den omhandlede betaling, der var godkendt af klageren, selvom betalingen ikke var trukket fra kontoen på det tidspunkt, hvor klageren henvendte sig til banken. Det fremgår af kortbestemmelserne for klagerens Visa/Dankort punkt 3.1, at klageren, inden hun godkender en betaling eller en hævning, skal sikre sig, at beløbet er korrekt. Betalinger, som klageren godkender, kan ikke tilbagekaldes.

Banken har til støtte for afvisningspåstanden anført, at der er en usikkerhed om det faktisk passerede i sagen, herunder hvilke betalingsoplysninger klageren har fået vist i betalingsflowet. En afgørelse heraf forudsætter en bevisvurdering i form af parts- og vidneforklaringer. Dette kan ikke finde sted for Ankenævnet, og må i givet fald finde sted for domstolene, hvorfor sagen skal afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Den 6. januar 2022 blev klagerens kort anvendt til en betaling til en udenlandsk betalingsmodtager, S, på 1.479,74 EUR, svarende til 11.173,04 DKK, som klageren ikke kan vedkende sig. Betalingen blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.

Klageren gjorde indsigelse mod transaktionen over for banken. Hun oplyste, at hun alene godkendte en betaling af 27,27 DKK og at hun først efter godkendelsen af betalingen modtog en besked om, at hun havde betalt 1.479,74 EUR til S. Banken tilbagebetalte klageren det krævede beløb med fradrag af 8.000 DKK.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet finder, at det som anført af banken må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Vibeke Rønne, Morten Winther Christensen og Andreas Moll Årsnes – udtaler:

Vi finder det godtgjort, at klageren har godkendt betalingen på 1.479,74 EUR i sin NemID-nøgleapp. Vi har herved lagt vægt på de skærmbilleder, der er indhentet fra Nets ACS portal.

Vi finder derfor, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i NemID-nøgleappen, hvor hun før godkendelsen af transaktionen fik oplysninger om beløbet på 1.479,74 EUR og beløbsmodtager. Klageren hæfter som følge heraf med 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Jacob Ruben Hansen og Lisbeth Baastrup Burgaard – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf.  betalingslovens § 100, stk. 3.  

Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.  

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.