Indsigelse mod transaktion, der blev gennemført som en ”3D Secure” betaling.

Sagsnummer:144/2018
Dato:29-11-2018
Ankenævn:Vibeke Rønne, Michael Reved, George Wenning, Troels Hauer Holmberg og Poul Erik Jensen.
Klageemne:Betalingstjenester - fjernsalgstransaktioner
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod transaktion, der blev gennemført som en ”3D Secure” betaling.
Indklagede:Nordea Danmark
Øvrige oplysninger:OF
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod korttransaktion, der blev gennemført som en ”3D Secure” betaling.

Sagens omstændigheder

Klageren er kunde i Nordea, hvor han har et Visa/dankort. Den 12. februar 2018 blev betalingskortet tilmeldt Nets sikkerhedsløsning 3D Secure.

Den 5. marts 2018 blev klagerens kort søgt anvendt til følgende seks internettransaktioner:

Klokkeslæt

Beløb, kr.

Forretning

Sikkerhed

Status

16:44:56

33.882,11

Western Union

3D Secure

Afvist mang-lende dækning

16:47:26

33.882,11

Western Union

3D Secure

Afvist mang-lende dækning

16:57:08

33.882,11

Western Union

3D Secure

Afvist mang-lende dækning

17:01:13

33.882,11

Western Union

3D Secure

Afvist mang-lende dækning

17:03:43

32.806,88

Western Union

3D Secure

Afvist over Max.beløb

17:28:21

24.810,22

Western Union

SSL (internet køb uden brug af 3D Secure)

Afvist mang-lende dækning

Den 6. marts 2018 blev der med klagerens betalingskort foretaget følgende internettransaktion, som klageren ikke kan vedkende sig, til en pengeoverførselsvirksomhed, F:

Klokkeslæt:

Beløb:

Forretning:

Sikkerhed:

Status:

19:26:49

29.023,38 kr.

F

3D Secure

Gennemført

Den 9. marts 2018 indgav klageren indsigelsesblanket til banken, hvori han anførte, at kortet var i hans besiddelse på tidspunktet for den ikke vedkendte hævning, at kortet ikke havde været udlånt, og at ingen havde haft adgang til kortet. Klageren oplyste, at han både havde sit nøglekort og sin telefon, der kun kunne låses op med touch-id, på sig. Klageren oplyste endvidere:

”… Jeg opdager min konto var i minus straks efter jeg har modtaget SMS-saldo fra Nordea. Kontoen var nemlig IKKE i minus indtil jeg fik Sms’en og der opdaget jeg at noget var galt. Jeg havde sparet pengene op til en ny lejlighed (lejekontrakt vedhæftet). Der var dog en plan om at sende nogle penge til udlandet, men da det ikke var aktuelt blev ideen droppet. …”

Samme dag indgav klageren anmeldelse til politiet.

Ved e-mail af 20. marts 2018 til klageren oplyste banken, at F var tilmeldt en sikkerhedsløsning, hvorefter der ved køb sendes en sms med en engangskode fra Nets med oplysning om beløb og navn på den pågældende forretning til det telefonnummer, der er registreret med kortet. Banken afviste indsigelsen med henvisning til, at transaktionen blev gennemført ved brug af den fremsendte sms engangskode. Banken har fremlagt en sms log fra Nets vedrørende perioden fra den 5. marts 2018 kl. 15.42 til den 6. marts 2018 kl. 19.26.

Ved e-mail til banken af den 23. marts 2018 anførte klageren, at han ikke nægtede at have modtaget sms koden, men at hans NemID højst sandsynligt var blevet misbrugt, og at Nets havde bekræftet, at en 3D secure transaktion kunne godkendes via NemID log in.

Ved e-mail af 30. marts 2018 til banken afviste klageren, at den ikke vedkendte hævning var godkendt med sms kode. Klageren anførte, at han havde mistanke om, at hans NemID var blevet kopieret og misbrugt, og at Nets telefonisk havde oplyste ham om, at det var muligt at bruge NemID til at godkende en 3D-secure transaktion. Klageren anførte endvidere, at den af banken indhentede sms log alene bekræftede, at sms’en var sendt til hans mobiltelefon, men ikke, at det var sms-koden, som var blevet brugt.

Ved e-mail af 18. april 2018 til banken vedhæftede klageren en hændelseslog vedrørende NemID og anførte, at det fremgik heraf, at transaktionen var gennemført ved brug af NemID. Klageren har fremlagt en hændelseslog vedrørende NemID, hvori bl.a. følgende er anført vedrørende den ikke vedkendte hævning den 6. marts 2018 kl. 19.26:

”Nøglenummer -87 udstedt Fra IP-adresse …-154

Nøgle til nøglenummer -87 er accepteret Fra IP-adresse …-154

Bruger autentificeret succesfuldt ifm. 2-faktor login eller signerring Fra IP-adresse …-154”

Klageren har fremlagt et print fra søgning på den pågældende IP-adresse. I printet er angivet, at den pågældende IP-adresse er lokaliseret i Bulgarien. Klageren har endvidere fremlagt en udateret e-mail fra Nets, hvori Nets anførte:

”Jeg har nu haft fat i vores eksperter omkring 3 D secure og det desværre ikke muligt for os, at se om det er via din mobil eller via dit nøglekort at tranaktionen er kortet er verificeret.”

Banken har fremlagt en uddrag fra Nets’ hjemmeside vedrørende 3D secure:

”Hvis der ikke er tilknyttet mobilnummer til dit kort, vil du første gang du handler i en netbutik, der er tilsluttet løsningen blive bedt om at tilknytte dit mobilnummer til kortet. Du skal anvende NemID til dette. Herefter vil du modtage en engangskode via SMS. Denne kode indtaster du. Når koden er godkendt vil dit mobilnummer være tilknyttet dit kort og du vil være klar til at modtage SMS-koden, hvis det kræves i forbindelse med det pågældende køb. Hvis du efterfølgende ønsker at ændre eller slette mobiltelefonnummeret, som du har knyttet til dit/dine betalingskort, skal du ligeledes anvende NemID. …

Pas på din SMS-engangskode og din NemID

Den engangskode du modtager med SMS i forbindelse med handel på nettet, må du ikke udlevere til andre. Du skal opfatte SMS-engangskoden som din personlige PIN-kode til den handel på nettet, du er i gang med at gennemføre. Du skal ligeledes passe på din Nem ID, så ingen kan få adgang til dit NemID nøglekort eller din digital NemID nøgleviser. …

Hvis du ikke kan modtage en SMS

Der kan opstå situationer hvor du ikke kan modtage en SMS. Dels kan du opholde dig et sted, hvor der er ringe mobildækning og dels kan de lokale mobiloperatører have blokeret for bestemte typer SMS'er.

Fra 2017 bliver det muligt at anvende NemID i de situationer, hvor du ikke modtager en SMS. Det foregår i det skærmbillede hvor du skal indtaste din SMS kode. Her er der mulighed for at vælge at verificere sig med NemID i stedet for. Tryk på knappen ”NemID” og du bliver forbundet til NemID. Her udfylder du den normale NemID dialog, og når dette er afsluttet, vil din handel fortsætte på sædvanlig vis. Denne løsning vil være gældende for såvel de internationale kort (MasterCard og Visa) som Visa/Dankort og Dankort. …”

Af bankens regler for Visa/dankort pr. 1. januar 2018 fremgik blandt andet følgende:

”…6 Sikre internetbetalinger

Dankort Secured by Nets og Verified by Visa er en ekstra beskyttelse mod misbrug af kortdata ved handel på internettet. Sikkerheden består i, at du ved køb på internettet – ud over kortet – skal benytte en engangskode, som du modtager fra Nets via SMS i forbindelse med betalingen. Engangskoden skal kun anvendes ved køb i internetforretninger, der anvender Dankort Secured by Nets og Verified by Visa. …

11 Dit ansvar ved misbrug af koret

11.1 Hvis kortet har været misbrugt af en anden person, vil Nordea dække tabet, medmindre tabet er omfattet af afsnit 11.2 – 11.6 nedenfor. Det er Nordea, der skal bevise, at tabet er omfattet af afsnit 11.1 – 11.6. …

11.3 Du skal dække tab op til DKK 8.000 i tilfælde af, at kortet har været misbrugt af en anden person og pinkoden har været anvendt, og

  • du har undladt at underrette dit pengeinstitut snarest muligt efter at have fået kendskab til, at kortet er bortkommet, eller at uberettigede har fået kendskab til koden
  • du har oplyst koden til den, der har foretaget den uberettigede anvendelse, uden du indså eller burde have indset, at der var risiko for misbrug
  • du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.
    11.4 Du hæfter for det fulde tab, hvis pinkoden har været anvendt i forbindelse med misbruget under følgende betingelser
  • Du har selv oplyst pinkoden til den, som har misbrugt kortet, og du indså eller burde have indset, at der var risiko for misbrug
    11.5 Du hæfter endvidere for det fulde tab, hvis du har handlet svigagtigt eller med forsæt har undladt at opfylde dine forpligtelser i henhold til reglerne herunder til at opbevare kortet og mobiltelefonen til Verified by Visa forsvarligt, se afsnit 6, at beskytte pinkoden, se afsnit 3 og 4, eller at spærre kortet, se afsnit 10 …
    11.8 Uanset ovenstående hæfter banken tillige for misbrug, hvis du ikke kunne opdage tabet, tyveriet eller den uberettigede tilegnelse af din pinkode.
    Du kan læse mere om ansvarsreglerne i lov om betalinger, § 100”

Parternes påstande

Den 18. april 2018 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbageføre den ikke vedkendte hævning.

Nordea Danmark har nedlagt påstand om principalt frifindelse, subsidiært frifindelse mod betaling af et mindre beløb, mere subsidiært afvisning.

Parternes argumenter

Klageren har anført, at der er tale om misbrug. Han har hverken deltaget i eller godkendt den ikke vedkendte hævning. Det fremgår klart af den fremlagte hændelseslog, at der er blevet brugt NemID til at gennemføre transaktionen fra IP adressen -154. Transaktionen er sket ved misbrug af hans NemID, som er spærret. Misbruget blev sandsynligvis foretaget af en person, der kender ham og hans personlige adgangskoder. Hans NemID er tilsyneladende blevet stjålet.

Det ville ikke overraske ham, hvis personen også har haft adgang til hans telefon og forgæves har forsøgt at godkende et beløb ved brug af sms kode. Han var udmærket klar over, hvor mange penge han havde på kontoen, så der var ingen grund til, at han skulle forsøge at sende et højere beløb end det på kontoen indestående beløb. Han forstår ikke, at banken ikke har kontaktet ham ved de mange forsøg på at sende penge fra hans konto.

Banken har uberettiget fastholdt, at transaktionen blev godkendt via hans mobil, selvom banken ingen dokumentation har fra Nets, der modbeviser hans forklaring.

Af den af banken fremlagte log kan man alene se, at transaktionen blev godkendt og accepteret med 3D secure, men man kan ikke se, at den blev godkendt ved brug af sms-kode fra hans mobil. Nets har flere gange telefonisk og skriftligt oplyst ham om, at transaktionen sagtens kunne være gennemført brug af NemID. Han har aldrig benægtet, at sms'en nåede frem, men den blev desværre opdaget sent af ham.

Nordea Danmark har til støtte for den principale påstand anført, at klageren hæfter fuldt ud, da forholdet ikke er omfattet af betalingslovens § 100. Transaktionen blev enten godkendt af klageren selv eller godkendt af en tredjemand med klagerens bemyndigelse. Klageren hæfter derfor fuldt ud for transaktionen.

Transaktionen blev gennemført med stærk kundeautentifikation enten ved brug af NemID eller ved brug af sms engangskode (stærk kundeautentifikation, jf. betalingslovens § 128). Klageren har erklæret, at han var i besiddelse af sit betalingskort og mobiltelefon på tidspunktet for den omtvistede transaktion. Klageren var ligeledes i besiddelse af sit NemID, men havde mistanke om, at det var blevet kopieret. Klageren har dog ikke redegjort nærmere herfor. Godkendelse af transaktionen med Nem-ID ville i alle tilfælde også kræve kendskab til klagerens personlige kode.

Hvis Ankenævnet finder, at forholdet er omfattet af betalingslovens § 100, gøres det gældende, at klageren hæfter fuldt ud i medfør af betalingslovens § 100, stk. 5, da transaktionen blev godkendt med stærk kundeautentifikation, og klageren med forsæt har oplyst den personlige sikkerhedsforanstaltning til en tredjemand, der efterfølgende har godkendt transaktionen. Klageren burde have indset, at der var risiko for misbrug. Det skal i den forbindelse fremhæves, at Nets har bekræftet, at de ikke er bekendt med tekniske svigt eller fejl hos Nets.

Nordea Danmark har til støtte for den subsidiære påstand anført, at hvis Ankenævnet ikke finder, at banken bør frifindes med henvisning til betalingslovens § 100, stk. 5, gøres det gældende, at klageren i medfør af betalingslovens § 100, stk. 4, hæfter med 8.000 kr., da transaktionen blev godkendt med stærk kundeautentifikation, og klageren enten med forsæt overgav den personlige sikkerhedsforanstaltning til en tredjemand, jf. betalingslovens § 100, stk. 4, nr. 2, eller ved groft uforsvarlig adfærd muliggjorde anvendelsen, jf. betalingslovens § 100, stk. 4, nr. 3.

Banken kan derfor maksimalt blive pålagt at betale klageren det omtvistede beløb fratrukket 8.000 kr.

Nordea Danmark har til støtte for afvisningspåstanden anført, at en yderligere stillingtagen til sagen kræver en bevisførelse, der ikke kan ske for Ankenævnet, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4. Det er dokumenteret, at de nødvendige oplysninger til brug for transaktionen blev anvendt, herunder kortoplysninger og sms engangskoden eller NemID. Klagerens betalingskort og mobiltelefon var i klagerens besiddelse, og klageren har bekræftet at have modtaget sms engangskoden til godkendelse af transaktionen. Klagerens påstand om, at han ikke foretog transaktionen, og at hans NemID formentlig blev kopiret, er ikke nærmere underbygget, og en nærmere afklaring heraf kræver en bevisførelse, der ikke kan ske for Ankenævnet, hvorfor sagen må afvises.

Ankenævnets bemærkninger

Ankenævnet lægger til grund, at den omtvistede betaling på klagerens betalingskort på 29.023,38 kr. skete ved brug af kortnummeret og det trecifrede sikkerhedsnummer, samt ved brug af Nets sikkerhedsløsning 3D Secure ved anvendelse af enten en sms engangskode eller klagerens NemID.

Ankenævnet lægger endvidere til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Betalingen skete til betalingsmodtageren F, der efter det oplyste er en pengeoverførselsvirksomhed. Klageren har anført, at han ikke har godkendt betalingen til F. Klageren har anført, at han senere opdagede, at han havde modtaget en sms kode vedrørende transaktionen, men at han ikke anvendte denne, og at transaktionen må være blevet gennemført ved misbrug af hans NemID.

Klageren har anført, at misbruget sandsynligvis er foretaget af en person, der kender ham, men har ikke redegjort for, hvorledes en sådan person skulle være kommet i besiddelse af hans nøglekort, brugernummer og adgangskode til NemID, hvilket er en forudsætning for, at transaktionen har kunnet gennemføres ved brug af NemID.

Afgørelsen af sagen beror på, om der må antages at være tale om tredjemandsmisbrug. Ankenævnet finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3 nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.