Indsigelse mod transaktion gennemført ved brug af 3D Secure.

Sagsnummer:319/2021
Dato:23-11-2021
Ankenævn:Henrik Waaben, Inge Kramer, Mette Lindekvist Højsgaard, Jacob Ruben Hansen, Lisbeth Baastrup Burgaard.
Klageemne:Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - groft uforsvarlig adfærd
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod transaktion gennemført ved brug af 3D Secure.
Indklagede:Sydbank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører en indsigelse mod en transaktion, der blev gennemført som en 3D Secure betaling.  

Sagens omstændigheder

Klageren var kunde i Sydbank, hvor hun havde et betalingskort.

Den 31. maj 2021 klokken 13.49 blev klagerens betalingskort anvendt til en betaling til et firma, F, på i alt 17.176,98 kroner, som klageren ikke kan vedkende sig.

Klageren har oplyst, at hun fik en besked på sin mobiltelefon, hvor det fremgik, at der var ved at blive hævet 17.176,98 kroner på hendes konto. Klokken 13.55 ringede hun til banken og oplyste om beskeden. Bankrådgiveren oplyste, at vedkommende kun kunne se en fremtidig betaling på 1.700 kroner til et andet firma, Y.

Den 2. juni 2021 blev der hævet en betaling på 17.176,98 kroner på klagerens konto. Betalingsmodtageren, F, var et spansk rejsebureau.

Banken har oplyst, at betalingen med klagerens betalingskort blev foretaget med sikkerhedsløsningen 3D Secure, idet betalingen var godkendt i klagerens NemID-nøgleapp.

Den 4. juni 2021 gjorde klageren indsigelse mod transaktionen over for banken.

Samme dag stillede banken en række spørgsmål til klageren, som klageren besvarede således:

Bankens spørgsmål

Klagerens svar

Har du kort inden transaktionen er foretaget, modtaget en mail eller SMS, hvor du er blevet bedt om at opdatere dine oplysninger, betale manglende porto eller andet?

Dem svarer jeg aldrig på. De bliver slettet.

Var der i mailen et link, som du skulle følge?

NEJ har ikke fået mail

Hvad blev du bedt om at indtaste?

Har ikke fået mail

Bad de dig indtaste en kode, som du fik tilsendt på SMS (Nets Engangskode)?

Nej kunne ikke drømme om at taste en kode i en mail

Bad de dig anvende din NemID nøgleapp?

Hvem?

Hvis du evt. stadig har en kopi af den falske mail og evt. SMS med engangskode, så bedes du medsende dette til sagen.

Jeg er ikke bevidst om at jeg har fået nogen mail eller SMS

Eller er du kort inden transaktionerne er foretaget, blevet kontaktet af nogle, der udgav sig for at være fra Microsoft, Sydbank, Nets eller andre?

NEJ

Hvad oplyste de som årsagen til at de ringede?

Der er ingen der har ringet

Bad de dig indtaste en kode som du fik tilsendt på SMS (Nets Engangskode)?

NEJ ingen har bedt om kode

Bad de dog anvende din NemID nøgleapp?

Jeg har kun brugt NEM ID når jeg køber varer over nettet gennem netbutikker så vidt jeg husker.

Klageren har fremlagt en udskrift fra sit telefonselskab og har oplyst, at der i perioden 31. maj til 4. juni 2021 var opkald fra hendes telefon til af hende ukendte numre, som hun ikke selv foretog.

Den 9. juni 2021 skrev banken følgende til klageren:

”Vi kan se i vores system, at du har godkendt betalingen med din NemID Nøgleapp den 31.05.2021 kl. 13.49. Da du selv har godkendt betalingen, så skal vi vide hvordan den er opstået. Dette sker oftest hvis man har reageret på en falsk mail eller et opkald.

De falske mails ser typisk ud til at komme fra Postnord, hvor du bliver bedt om at betale et mindre beløb i porto for en pakke. De kan også se ud til at komme fra Netflix, Yousee eller lignende, hvor man bliver bedt om at opdatere ens kortoplysninger. Det de alle har til fælles er, at der er et link i mailen, som du bedes følge.”

Samme dag svarede klageren blandt andet følgende:

” Det er vildt underligt.
Jeg husker intet om at jeg har godkendt noget med nem ID.

Jeg får en mail/sms, message. jeg ved ikke hvad for jeg kunne ikke finde den igen.
Jeg ringer den 31 maj til sydbank og fortæller om beskeden at der er nogen der er igang med at hæve 17000,- og noget
Får at vide der ikke er sket noget og ingen hævninger. Men at der er en kommende betaling på 1700,- og et eller andet.
Så siger jeg at så må det jo være mig der har set forkert. Lægger på og prøver at finde beskeden.
Den kan jeg ikke finde hverken på sms, mail
Og regner med at det er OK.”

Den 17. juni 2021 skrev banken til klageren, at hendes tab fratrukket 8.000 kroner blev godtgjort, svarende til 9.176,98 kroner. Banken skrev blandt andet:

”I denne sag har svindlen alene kunne finde sted, fordi du oplyste kortoplysninger til svindleren og godkendte med din NemID nøgleapp. Svindleren anvendte oplysningerne til at foretage betalingerne.

Banken har sendt dig to advarselsbreve, hvor du blev advaret imod svindlere og svindelopkald. Den 10.02.2021 modtog du ”Pas på telefonopkald fra svindlere” og den 23.06.20 ”gør livet sværere for it-svindlere”. Du burde derfor have indset, at der var risiko for misbrug.

Da du selv har godkendt betalingen på 17.176,98 kr. til [F], har du selv muliggjort betalingens gennemførsel, og hæfter derfor med op til 8.000,00 kr. af tabet. Beløb og forretningsnavn fremgik af din NemID nøgleapp.”

Den 20. juni 2021 fremsatte klageren en indsigelse over for banken og krævede det fulde beløb på 17.176,98 kroner dækket. Det fremgår blandt andet af indsigelsen:

”Jeg kontakter Sydbank den 31.05 2021 og siger at der er ved at blive hævet et beløb på 17.176,98 kr. og at min konto skal spærres. Jeg får at vide at der ikke er noget igang, men at der er en kommende indbetaling på ca 1700,00 kr. Jeg slår mig til tåls med det. Kan ikke finde den POP UP der kom.

Det er da så lidt underlig at jeg så skulle have godkendt det selv­samme beløb på min Ipad 3 dage efter hvor pengene fysisk bliver hævet på min konto.”

Den 23. juni 2021 anmeldte klageren sagen til politiet.

Den 28. juni 2021 meddelte banken klageren, at den ikke fandt anledning til at omgøre sin afgørelse.

Parternes påstande

Den 14. juni 2020 har klageren indbragt sagen for Ankenævnet med påstand om, at Sydbank skal godtgøre hende hele transaktionen og dermed betale 8.000 kroner.

Sydbank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun ikke bør hæfte for transaktionen.

Hun modtog den 31. maj 2021 en besked på sin mobiltelefon vedrørende betalingen på 17.176,98 kroner, hvilket var baggrunden for, at hun henvendte sig til banken.

Hun oplyste banken om, at hun havde modtaget en besked på sin telefon med oplysning om, at der ville blive hævet 17.176,98 kroner på hendes konto. Banken oplyste, at der ikke var noget galt, og at der alene var en fremtidig betaling til Y på 1.700 kroner.

Hun har ikke foretaget eller godkendt betalingen, hun har ikke kendskab til F, og hun har ikke besvaret phishing e-mails. Der er tale om, at hun er blevet udsat for svindel.

Det kan ikke være rigtigt, at banken ikke kunne spærre kontoen den 31. maj 2021, når beløbet først blev hævet den 2. juni 2021.

Det er irrelevant for sagen, at hun den 31. maj 2021 foretog andre betalinger.  

Sydbank har til støtte for frifindelsespåstanden blandt andet anført, at klageren har muliggjort betalingen af 17.176,98 kroner til F ved groft uforsvarlig adfærd, jf. lov om betalinger § 100, stk. 4, nr. 3.

Klageren ringede til banken den 31. maj 2021 og spurgte ind til en betaling på 17.000 kroner til Y. Bankens medarbejder oplyste, at der var en betalingsservice betaling til Y på 1.700 kroner den 30. juni 2021, og der blev ikke foretaget yderligere.

Den 31. maj 2021 godkendte klageren en række betalinger i en NemID-nøgleapp. Serienummeret på NemID-nøgleappen, der blev brugt til betalingen til F, var identisk med serienummeret, der blev brugt til de øvrige betalinger samme dag. Betalingen til F blev således godkendt med den samme enhed (for eksempel telefon eller tablet) som de øvrige betalinger. På denne baggrund og på grund af klagerens opkald til banken umiddelbart efter betalingen, har banken lagt til grund, at klageren godkendte betalingen i sin NemID-nøgleapp.

Det er bankens opfattelse, at klageren oprettede betalingen til F, sandsynligvis efter at have klikket på et link i en falsk e-mail, og godkendte den i NemID-nøgleappen uden at have læst oplysningerne om beløbets størrelse og beløbsmodtageren.

Klageren befandt sig ikke i en presset situation, da hun gennemførte betalingen, og klageren burde på baggrund af teksten i NemID-nøgleappen have indset, at der var risiko for misbrug.

Betalingen blev registreret og bogført korrekt og var ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98.

Betalingsordren til F blev modtaget i forbindelse med betalingens gennemførsel klokken 13.49, så det var ikke muligt for banken at standse eller tilbageføre betalingen, da klageren ringede klokken 13.55, jf. lov om betalinger § 111, stk. 1. Hvis banken havde spærret kontoen, da klageren ringede, havde det således ikke stoppet betalingen.

Ankenævnets bemærkninger

Den 4. juni 2021 gjorde klageren indsigelse mod en transaktion på 17.176,98 kroner foretaget den 31. maj 2021 til et spansk rejsebureau, F.

Banken har oplyst, at den omtvistede betaling med klagerens betalingskort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.

Ankenævnet finder, at det er uklart, om banken begik en fejl, da klageren ringede og oplyste, at hun havde modtaget en besked om, at de 17.176,98 kroner ville blive hævet på hendes konto. Ankenævnet finder imidlertid, at det som anført af banken må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, da klageren ringede den 31. maj 2021 klokken 13.55.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Klageren har anført, at hun ikke har foretaget eller godkendt transaktionen og ikke har kendskab til F.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.

Ankenævnet finder videre, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.

Efter lov om betalinger § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kroner af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Parterne er uenige om, hvorvidt klageren ved groft uforsvarlig adfærd har muliggjort transaktionen og derfor hæfter for 8.000 kroner, jf. lov om betalinger § 100, stk. 4, nr. 3.

Ankenævnet finder, at en afklaring af sagens nærmere omstændigheder, herunder en afklaring af, om klageren ved groft uforsvarlig adfærd muliggjorde transaktionen og dermed hæfter for 8.000 kroner, vil forudsætte en bevisførelse i form af parts- og vidneforklaringer, som ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.