Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for korttransaktion i forbindelse med køb efter at have klikket på falsk annonce. Phishing.

Sagsnummer: 390/2022
Dato: 21-04-2023
Ankenævn: Bo Østergaard, Karin Sønderbæk, Andreas Moll Årsnes, Morten Bruun Pedersen og Finn Borgquist.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for korttransaktion i forbindelse med køb efter at have klikket på falsk annonce. Phishing.
Indklagede: Nordea Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Indsigelse mod at hæfte for korttransaktion i forbindelse med køb efter at have klikket på en falsk annonce. Phishing.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor han havde en konto med et tilknyttet MasterCard.

Den 10. september 2022 blev klagerens betalingskort anvendt til en betaling til en udenlandsk betalingsmodtager, F, på 2.999 kr., som klageren ikke kan vedkende sig.

Banken har oplyst, at klageren i en telefonsamtale med banken oplyste, at han den 10. september 2022 klikkede på en falsk annonce, som han så på Facebook. Annoncen fremstod, som om den kom fra Elgiganten, og indholdet heri var, at man kunne købe en telefon for 2.999 kr. Annoncen er ikke fremlagt i sagen. Klageren ønskede på den baggrund at købe telefonen, og han klikkede derfor videre i annoncen frem til betalingen herfor. Han ville betale med sit MasterCard og udfyldte blandt andet de kortoplysninger, som var krævet for at få betalingen gennemført.

Banken har endvidere oplyst, at da der var tale om en betaling, der blev foretaget med sikkerhedsløsningen 3D Secure, udfyldte klageren også feltet med NemID brugernavn og adgangskode. Herefter godkendte klageren betalingen i NemID-nøgleapp. Det fremgår af en udskrift fra Nets’ systemer, at følgende tekst blev sendt til klagerens NemID-nøgleapp:

”Betal 2999,00 DKK til [F] fra kort xx8949”

Betalingen blev den 11. september 2022 trukket på klagerens konto.

Nets har over for banken bekræftet, at betalingen er korrekt gennemført og ikke fejlbehæftet. Banken har bekræftet, at bogføringen ligeledes er korrekt.

Klageren gjorde efterfølgende indsigelse mod betalingen over for banken, der afviste at godtgøre klageren beløbet og anførte, han hæftede for op til 8.000 kr.

Parternes påstande

Den 27. september 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbageføre den omtvistede transaktion.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han har anvendt MasterCard, da det er en sikker måde at foretage betalinger på.

Når han handlede online, burde banken have sendt ham en SMS, hvorefter han kunne svare ja eller nej til, om han bekræftede beløbet. Han modtog ingen SMS.

Da han blev bekendt med, at han havde været udsat for svindel, ringede han til banken med det samme og fik spærret alle sine kort og sit NemID.

Banken er ikke berettiget til at beregne en selvrisiko på 8.000 kr.

Han håber at få beløbet tilbage, da der er tale om mange penge for ham, idet han er på førtidspension.

Nordea Danmark har anført, at betalingen på 2.999 kr. er korrekt registreret, bogført og i øvrigt ikke fejlbehæftet.

En udskrift fra Nets’ systemer viser, at klageren blev præsenteret for teksten ”Betal 2999,00 DKK til [F] fra kort xx8949”. Der kan derfor ikke være tvivl om, at klager godkendte betalingen på netop dette beløb og til denne betalingsmodtager.

Når klageren valgte at godkende et beløb på 2.999 kr. til en betalingsmodtager, som dels ikke var identisk med elektronikforretningen fra den falske annonce og dels var ubekendt for ham, så var selve godkendelsen af betalingen i NemID-nøgleappen groft uforsvarlig adfærd fra hans side. Banken var derfor berettiget til at afvise at dække klagerens betaling, idet han havde en selvrisiko på 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 3.

Da korttransaktionen blev godkendt med NemID-nøgleappen, som var valgt af klageren, er klagerens bemærkninger om SMS-godkendelse ikke relevante for sagen.

Banken anerkender, at klageren er blevet snydt til at gennemføre korttransaktionen, men bemærker samtidig, at der dermed ikke bestod et reelt aftaleforhold mellem en elektronikforretning og klageren.

Ankenævnets bemærkninger

Den 10. september 2022 blev klagerens betalingskort anvendt til en betaling til en betalingsmodtager, F, på 2.999 kr., som klageren ikke kan vedkende sig.

Ankenævnet lægger til grund, at baggrunden for betalingen var, at klageren den 10. september 2022 klikkede på en falsk annonce, som han så på Facebook. Annoncen fremstod, som om den kom fra Elgiganten, og indholdet heri var, at man kunne købe en telefon for 2.999 kr. Annoncen er ikke fremlagt i sagen. Klageren ønskede på den baggrund at købe telefonen, og han klikkede derfor videre i annoncen frem til betalingen herfor. Han ville betale med sit MasterCard og udfyldte blandt andet de kortoplysninger, som var krævet for at få betalingen gennemført.

Banken har oplyst, at klageren efter at have indtastet NemID bruger-id og adgangskode godkendte betalingen i sin NemID-nøgleapp.

Klageren gjorde efterfølgende indsigelse mod betalingen over for banken, der afviste at godtgøre klageren beløbet.

Den omtvistede betaling med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Bo Østergaard, Karin Sønderbæk og Andreas Moll Årsnes – udtaler:

Vi lægger til grund, at klageren må have godkendt betalingen på 2.999 kr. i sin Nem- ID-nøgleapp.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i NemID-nøgleappen, hvor han fik oplysninger om beløbet på 2.999 kr. og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Finn Borgquist – udtaler:

Som oven for anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr., jf.  betalingslovens § 100, stk. 3. 

Vi stemmer derfor for, at banken skal tilbageføre 2.624 kr. til klageren. 

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.