Indsigelse mod at hæfte for 8.000 kroner af tabet ved tredjemands misbrug af Mastercard i forbindelse med phishing.

Sagsnummer:309/2021
Dato:16-06-2022
Ankenævn:Bo Østergaard, Karin Sønderbæk, Andreas Moll Årsnes, Jacob Ruben Hansen, Kim Korup Eriksen.
Klageemne:Betalingstjenester - ikke groft uforsvarlig adfærd
Betalingstjenester - ubegrænset hæftelse
Ledetekst:Indsigelse mod at hæfte for 8.000 kroner af tabet ved tredjemands misbrug af Mastercard i forbindelse med phishing.
Indklagede:Nordea Danmark
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Denne sag vedrører klagerens indsigelse mod at hæfte for 8.000 kroner af tabet ved tredjemands misbrug af hans Mastercard i forbindelse med phishing.

Sagens omstændigheder

Klageren er kunde i Nordea Bank, hvor han har et Mastercard.

Den 10. juni 2021 blev der foretaget en transaktion på 14.221,90 kroner med kortet. Betalingsmodtageren var et internetbaseret rejsebureau, A. Baggrunden for transaktionen var, at klageren havde modtaget en besked fra internetudbyderen, B, om, at han skulle opdatere sine betalingsoplysninger.

Den 14. juni 2021 gjorde klageren indsigelse mod transaktionen over for banken. Klageren oplyste blandt andet:

”Det seneste jeg modtog var en mail fra [B] vedrørende betaling af mit internet, som så vist[e] sig at være virus, det opdaget jeg ført efter jeg var logget ind, da der stod i mailen, at mit internet vil lukke, hvis jeg ikke betalte regning men ifølge hjemmesiden meldt[e] den fejl og jeg har ikke bestilt ferie [hos A] som beløbet står til.”

Ved brev af 15. juni 2021 meddelte banken, at klageren hæftede for 8.000 kroner af transaktionen, og at banken således ville dække 6.221,90 kroner. Banken anførte blandt andet:

”…

… vi kan se, at transaktionen er godkendt ved brug af NemID. Det vil sige, at der i forbindelse med købet er indtastet dit NemID brugernavn samt din adgangskode, og herefter er købet bekræftet via NemID app, hvor både forretningsnavn og beløb fremgik med følgende tekst: ”Betal 14.221,90 DKK til [A] fra kort xx1727”.

Ud fra denne information og din egen forklaring er vi overbevist om, at du har været udsat for phishing.

…”

Banken har oplyst, at det fremgår af bankens systemer, at klageren to gange blev anmodet om at godkende den samme betaling med sit Mastercard på sin NemID nøgle-app. Banken har fremlagt en oversigt over to transaktionsforløb og har oplyst, at oversigten viser, at klageren den 10. juni 2021 klokken 18.32 godkendte betalingen på 14.221,90 kroner i sin NemID nøgle-app, og at klageren klokken 18.34 forsøgte igen at gennemføre den samme betaling, idet han dog valgte at afbryde godkendelsen i NemID nøgle-appen.

Af ”Regler for Nordeas kreditkort” gældende fra marts 2021 fremgik blandt andet:

”…

10.2. Hæftelse og selvrisiko
Regler for din hæftelse er fastlagt i Lov om betalinger.

Du skal dække tab op til 8.000 kr. i tilfælde af, at dit kort har været misbrugt af en anden person og der i den forbindelse er anvendt en personlig sikkerhedsforanstaltning, og

  • du har undladt at underrette Nordea snarest muligt efter at
    have fået kendskab til, at kortet eller din mobiltelefon med wallet er bortkommet, eller at uberettigede har fået kendskab til den personlige sikkerhedsforanstaltning,
  • du med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at du indså eller burde have indset, at der var risiko for misbrug, eller
  • du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

…”
 

Parternes påstande

Den 5. juli 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal godtgøre ham hele transaktionen og således betale 8.000 kroner til ham.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han ikke bør hæfte for transaktionen.

Han opsagde sit internet, da han havde fået en forbindelse via sit arbejde.

Han modtog en besked fra internetudbyder B om, at han manglede at betale sin regning. Han loggede ind for at betale, men siden meldte fejl. Han tænkte, at han ville betale regningen, når han var hjemme.

Han valgte herefter at gå ind på internetudbyder B’s hjemmeside for at tjekke og kunne se, at betaling var sket.

Han har handlet i god tro, selvom han var logget ind med NemID.

Da han skulle godkende med sit NemID, stod der hverken beløb, eller hvem man loggede ind til.

Banken afslog at dække hele tabet uden først at tjekke op på tingene.

Han anmodede banken om at give korrekte oplysninger om IP-adresse, da han skulle lave en politianmeldelse, men han fik kun den samme udskrift, som han kunne se på sin netbank.

NemID-appen fejlede og meldte hverken en godkendelse eller det beløb eller firma, der skulle trække pengene. Banken bør tjekke dette.

Nordea Danmark har anført, at banken ikke har handlet ansvarspådragende.

Den omtvistede transaktion blev korrekt registreret og bogført, og var ikke ramt af tekniske svigt eller andre fejl.

Transaktionen blev foretaget og godkendt af klageren selv. Da klageren swipede godkendelsen af betalingen, kunne han se både beløb og beløbsmodtager.

Klageren videregav således ikke personlige sikkerhedsoplysninger, herunder NemID-oplysninger, til tredjemand. Dermed gøres det gældende, at forholdet i denne sag principielt ikke er omfattet af Betalingslovens § 100, som omhandler uautoriserede transaktioner.

Ud fra klagerens forklaring om hændelsesforløbet må det antages, at han - på trods af, at registreringerne viser, at han selv foretog og godkendte den omtvistede transaktion - har været udsat for phishing.

Forholdet er derfor under alle omstændigheder omfattet af Betalingslovens § 100, stk. 4 og ”Regler for Nordeas kreditkort”, pkt. 10. 2, 3. afsnit, og det fastholdes på den baggrund, at klageren skal hæfte med 8.000 kroner for den omtvistede transaktion.

Banken har ikke kendskab til driftsfejl i NemID nøgle-appen, og det bestrides, at der, som hævdet af klageren, skulle være fejl. Klagerens forklaring tyder derimod på, at klageren er blevet præsenteret med en fejl i selve browseren/betalingsvinduet på phising-siden med henblik på at få klageren til at foretage endnu en betaling som integreret led i svindlen.

Ankenævnets bemærkninger

Den 10. juni 2021 blev der foretaget en transaktion på 14.221,90 kroner med klagerens Mastercard, der var udstedt af Nordea Bank. Betalingsmodtageren var et internetbaseret rejsebureau, A. Baggrunden for transaktionen var, at klageren havde modtaget en besked fra internetudbyderen, B, om, at han skulle opdatere sine betalingsoplysninger.

På baggrund af en indsigelse fra klageren meddelte banken, at klageren hæftede for 8.000 kroner af transaktionen, og at banken således ville dække 6.221,90 kroner.

Det lægges til grund, at transaktionen blev foretaget ved godkendelse i klagerens NemID-nøgleapp.

Det lægges videre til grund, at transaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jævnfør betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jævnfør betalingslovens § 93.

Klagerens NemID var en personlig sikkerhedsforanstaltning, jævnfør betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jævnfør betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Tre medlemmer – Bo Østergaard, Karin Sønderbæk og Andreas Moll Årsnes – udtaler:

Vi finder det godtgjort, at klageren har godkendt betalingen på 14.221,90 kroner i sin NemID-nøgleapp.

Vi finder, at banken herved har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da klageren burde have reageret på teksten i NemID-nøgleappen, hvor han fik oplysninger om beløbet på 14.221,90 kroner og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 kroner, jævnfør betalingslovens § 100, stk. 4, nr. 3.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer –  Jacob Ruben Hansen og Kim Korup Eriksen – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder ikke, at klageren har udvist groft uforsvarlig adfærd, idet det må forudsættes at klageren, såfremt klageren havde forudsætninger for at gennemskue svindlen, ikke ville have godkendt transaktionen.

Forbrugere har forskellige forudsætninger for at gennemskue svindel, og det må aldrig blive utrygt for den almindelige forbruger at anvende de betalingstjenester, der er udviklet og svære at komme uden om.

Hertil bemærkes, at begrebet "groft uforsvarlig adfærd" angiver, at grov uagtsomhed i almindelig forstand ikke er tilstrækkelig til at pådrage betaleren hæftelse efter bestemmelsen.

Idet der er tale om en væsentlig skærpelse af ansvarsbetingelsen i forhold til begrebet "grov uagtsomhed", som normalt anvendes som en betegnelse for "tilsidesættelse af den agtpågivenhed, som selv skødesløse personer plejer at udvise", må der forudsættes en udvidet beskyttelsen af forbrugeren, og dermed at der pålægges et udvidet ansvar hos udbyderen af betalingsløsningen.  

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, og der er ikke belæg for at lægge til grund, at der i sager med phishing, hvor forbrugeren oplever, at beløbet ændrer sig efter transaktionen er godkendt, ikke er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, hvor beløbet først ændres efter transaktionen er godkendt.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem forbrugeren anvender, gør transaktionen tilstrækkeligt tydelig, herunder at udformningen af den tekst forbrugeren godkender, fremgår tydeligt. 

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kroner af tabet på 14.221,90 kroner, jævnfør betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at klageren får medhold i klagen.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.