Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for op til 8.000 DKK som følge af en korttransaktion, der blev gennemført via Booking.com og godkendt med MitID.

Sagsnummer: 419/2023
Dato: 19-03-2024
Ankenævn: Henrik Waaben, Morten Winther Christensen, Mette Lindekvist Højsgaard, Rolf Høymann Olsen og Elizabeth Bonde.
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for op til 8.000 DKK som følge af en korttransaktion, der blev gennemført via Booking.com og godkendt med MitID.
Indklagede: Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK som følge af en korttransaktion, der blev gennemført via Booking.com og godkendt med MitID.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor hun havde en konto med et tilknyttet Visa/Dankort -721.

Klageren har oplyst, at hun på et uspecificeret tidspunkt havde booket et hotelophold på et hotel, J, i udlandet.

Den 26. marts 2023 foretog klageren en betaling med sit betalingskort på 370 EUR, svarende til 2.757.80 DKK til betalingsmodtager, F.

Om baggrunden for betalingen har klageren oplyst, at hun blev svindlet i forbindelse med en hotelbooking på Booking.com. Hun blev kontaktet på WhatsApp af en person, T, som udgav sig for at være en repræsentant fra J. T meddelte klageren, at de havde modtaget en e-mail fra booking.com vedrørende, at booking.com ikke var i stand til at verificere hendes betalingskort, og at normalvis burde booking.com i dette tilfælde have sendt hende en e-mail med en anmodning om ombooking. T oplyste hende om alle hendes bookingoplysninger. J’s profil på Booking.com-portalen var blevet hacket, og svindlerne kunne derigennem skrive til hende og udgive sig for at være fra J. De skrev herefter på Booking.com fra J’s brugerprofil. De havde alle oplysninger vedrørende hendes booking. De oplyste hende, at der var en fejl i forbindelse med hendes betaling, og at hun for at beholde sin booking måtte bekræfte betalingen og opdatere sit kort. De sendte et link igennem portalen, som hun tænkte var sikkert, fordi der er et login, man skal anvende for at få adgang til de oplysninger, de havde. Hun klikkede på linket.

Klageren har fremlagt en besked fra WhatsApp, hvoraf fremgår:

”[Booking.com-logo]

Your card was declined

The hotel was unable to process your bank card because it was declined. Please confirm your card or provide alternate card details.

Your card will be charged for the booking and an instant refund will be issued. In this way, your card will be validated and your reservation will be saved.

We ask that you do this within the next 24 hours to guarantee your stay. Otherwise your reservation will be automatically cancelled by our system.

[Update credit card]

[Låsesymbol] This process is safe, secure and easy.

Dear [klageren] . Another situation, we received an email from Booking that they were unable to very your card.

Normally in this case Booking should have sent you an email asking you to rebook.

  • You need to go into your email and find that email, then click on confirm and enter your card information.
  • Booking will debit your reservation amount for one minute and give it back, this is the card verification. (Payment will be on the day of checkin, don’t worry, you need to go through card verification)
  • This should be done within 12 hours.”.

Klageren har endvidere fremlagt en korrespondance mellem klageren og J, hvoraf fremgår:

”Can you please confirm that your account has been hacked and that you didn’t write to me via [link removed] I need this to give to the bank

Dear [klageren],

we confirm that,

we contacted our partners,

we have never written any

messages to your social media

we hope that situation will be

stable as soon as possible.

 

Best regards

J

[Navn]”

Banken har oplyst, at klageren gennemførte to korttransaktioner og godkendte disse med MitID, hvoraf den første korttransaktion blev gennemført i en anden bank, og den anden korttransaktion blev gennemført i banken.

Banken har fremlagt en MitID-tekst, hvoraf beløb og beløbsmodtager fremgår. Af teksten fremgår:

”Betal 370,00 EUR til [F] fra kort xx7721”.

Banken har endvidere fremlagt ”Processing Details” fra Nets, hvoraf fremgår, at ”Authentication Method” var ”mitid.code_app”, og at ”IP Country” var ”FI (FINLAND)”.

Klageren har fremlagt transaktionsdetaljer, hvoraf fremgår:

”Meddelelse

VISA-transaktion

Beløb EUR 370,00

[F]

LONDON

Betalingsland: Storbritannien

Købsdato        26.03.2023

Valutakurs       7,453”.

Klageren gjorde den 29. marts 2023 indsigelse over for banken. I indsigelsesblanketten anførte hun:

”Svindlere har fået adgang til hotellets profil på booking.com og skrevet til mig derigennem at jeg måtte bekræfte min booking med et nyt kort ellers var min booking ikke sikret. De havde det korrekte beløb som min booking kostede og hvilket hotel jeg skulle bo på. Jeg har kontaktet både booking.com og hotellet og de har begge bekræftet at det var det der er sket.

Jeg har kontaktet booking portalen og hotellet og de bekræfter at de er blevet hacket og det ikke er dem der har skrevet til mig.”.

Banken afviste klagerens krav under henvisning til, at hun hæftede for op til 8.000 DKK.

Parternes påstande

Den 13. juli 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal tilbagebetale det fulde beløb.

Danske Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hotellet var blevet hacket, og at både Booking.com og hotellet har bekræftet dette.

Hun ringede til banken med det samme for at stoppe overførslen.

Der blev skrevet til hende på WhatsApp først med alle hendes bookingoplysninger og dernæst inde fra Booking.com fra hotellets brugerprofil, hvorfra hun klikkede på linket. Det er en lukket kanal, som viste alle hendes oplysninger, såsom navn, kontaktoplysninger, hvilke dage hun skulle bo på hotel J samt beløbet for overnatningen.

Det viste sig, at hotellets brugerkonto på Booking.com var blevet hacket. Hotellet og Booking.com har anerkendt dette.

Hun vedkender sig, at hun trykkede på et link, som ikke var rigtigt, men hun havde ingen mulighed for at vide, at hotellet var blevet hacket.

Det er ikke Booking.com, hun blev bedt om at betale til, idet det var hotellet, der sagde, at det ikke havde modtaget pengene.

Det er ofte en anden beløbsmodtager, der fremgår ved betalinger til Booking.com.

Et eksempel er Airbnb, hvor der ikke står Airbnb, når man overfører eller modtager penge.

Hun har fået medhold i tilsvarende sag i en anden bank.

Danske Bank har anført, at transaktionen er korrekt registreret og bogført og ikke har været ramt af tekniske svigt eller andre fejl.

Transaktionen er gennemført ved klagerens indtastning af kortoplysninger og godkendelse med MitID.

Transaktionen er gennemført med stærk kundeautentifikation.

Beløb og beløbsmodtager fremgik i MitID-appen.

Klageren blev bedt om at foretage en betaling til Booking.com, men foretog en betaling til en anden virksomhed.

Klageren havde allerede én gang foretaget en betaling, uden at det virkede, og foretog derefter igen en betaling.

Klageren må på baggrund af ovenstående anses som at have handlet så groft uforsvarligt, at hun selv hæfter for 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.

Klageren hæfter alene, da det beløb, der er trukket, er under 8.000 DKK, hvorfor banken ikke er forpligtet til at godtgøre kunden noget beløb.

Ankenævnets bemærkninger

Klageren var kunde i Danske Bank, hvor hun havde en konto med et tilknyttet Vi-sa/Dankort -721.

Den 26. marts 2023 foretog klageren en betaling med sit betalingskort på 370 EUR, svarende til 2.757,80 DKK, til betalingsmodtager F.

Om baggrunden for betalingen har klageren oplyst, at hun blev svindlet i forbindelse med en hotelbooking på Booking.com, hvor hun blev kontaktet på WhatsApp først og herefter på Booking.com fra hotellets brugerprofil, hvor de havde alle oplysninger vedrørende hendes booking. De oplyste hende, at der var en fejl i forbindelse med hendes betaling, og at hun for at beholde sin booking måtte bekræfte betalingen og opdatere sit kort. De sendte et link igennem portalen, som hun klikkede på.

Klageren har fremlagt en besked fra WhatsApp, hvoraf fremgår, at klageren skal bekræfte sine betalingsoplysninger, og at der vil blive trukket en betaling, som øjeblikkeligt vil blive refunderet.

Klageren har endvidere fremlagt en korrespondance mellem klageren og J, hvoraf fremgår, at klageren forespurgte J, om hotellet kunne bekræfte, at dets brugerprofil var blevet hacket, og at det ikke havde skrevet til hende, og at J bekræftede dette, og at det ikke havde skrevet til hende.

Klageren har anført, at både Booking.com og hotellet var blevet hacket.

Banken har anført, at klageren har handlet groft uforsvarligt.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Ankenævnet finder, at der i sagen savnes oplysninger og dokumentation vedrørende forløbet omkring korrespondancen med hotellet via Booking.com og WhatsApp. Ankenævnet finder herefter, at det på det foreliggende grundlag ikke er muligt at afgøre, om der er tale om misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder derfor, at en stillingtagen hertil forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse:

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.