Indsigelse mod at hæfte for korttransaktion. Phishing.
| Sagsnummer: | 371/2021 |
| Dato: | 04-10-2022 |
| Ankenævn: | Henrik Waaben, Bjarke Svejstrup, George Wenning, Jacob Ruben Hansen og Jørn Ravn |
| Klageemne: |
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod at hæfte for korttransaktion. Phishing. |
| Indklagede: | Arbejdernes Landsbank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for korttransaktion. Phishing.
Sagens omstændigheder
Klageren var kunde i Arbejdernes Landsbank, hvor han havde en konto med et tilknyttet Visa/dankort.
Den 4. august 2021 blev klagerens betalingskort anvendt til en betaling til et udenlandsk firma, F, på 1.189 EUR, som klageren ikke kan vedkende sig.
Klageren har oplyst, at han den 4. august 2021 modtog en mail, der fremstod som om, at den kom fra en streamingtjeneste, som han få uger tidligere havde tilmeldt sig. Streamingtjenesten udbad sig kortoplysninger til fremtidige betalinger. Efter at have klikket på et link i mailen, indtastede han sine kortoplysninger og skulle efterfølgende godkende disse på sin telefon, hvilket han gjorde. Klageren har ikke fremlagt mailen.
Klageren har endvidere oplyst, at han dagen efter, den 5. august 2021, blev usikker på, om han havde begået en dumhed og kontaktede banken telefonisk. Han blev rådet til at spærre sit kort, hvilket han gjorde med det samme. Han blev endvidere bedt om at holde øje med sin konto de næste 14 dage.
Den 9. august 2021 blev der hævet et beløb på 8.977,89 kr. på klagerens konto. Betalingsmodtageren F var en udenlandsk elektronikforretning.
Banken har oplyst, at betalingen blev godkendt i klagerens NemID-nøgleapp. Banken har fremlagt udskrifter fra Nets vedrørende gennemførelse og autentifikation af transaktionen, herunder den tekst, som blev præsenteret i NemID-nøgleappen. Følgende tekst fremgår af udskriften:
”Betal 1189,00 EUR til [F] fra kort xx3723”
Banken har endvidere fremlagt udskrift af klagerens NemID hændelseslog samt bankens brugerregler for Visa/dankort.
Ved en indsigelsesblanket af 11. august 2021 gjorde klageren indsigelse mod transaktionen over for banken. I en supplerende netbankbesked af 12. august 2021 til banken oplyste klageren blandt andet:
”Jeg mener jeg efterfølgende blokerede og slettede mailen
Jeg k[l]ikkede på den flere gange
Jeg gav oplysninger om kortnummer udløbsdato og sikkerhedskode, jeg trykkede på send 2 gange da den første gang tilsyneladende ikke gik igennem
Jeg gav oplysningerne fordi jeg var overbevist om at det var [navn på streamingtjeneste] der ville have oplysningerne til fremtidig brug ved betalinger.
Der kom en anmodning om at godkende en betaling på over 1000 euro det trykkede jeg afvis til.
…”
I en netbankbesked af 16. august 2021 til banken oplyste klageren:
”Jeg har ikke godkendt nogen betaling i euro eller kroner. Efter at jeg havde oplyst mit kortnr. mm. skulle jeg godkende dette på tlf., og det gjorde jeg. Der stod intet om et køb i den forbindelse?? ej heller noget om at der var tale om en transaktion til [F].”
Ved et brev af 19. august 2021 til klageren afviste banken at tilbageføre noget beløb med den begrundelse, at betalingen var godkendt af klageren med NemID.
I en netbankbesked af 19. august 2021 til banken oplyste klageren:
”Jeg kan godt se at det ser ud som jeg selv har foretaget transaktionen. Men jeg fastholder stadig at den er foretaget uden at jeg har kunnet se at der var tale om et køb, men udelukkende at der var tale om en godkendelse af kortoplysninger i forbindelse med oprettelse til kommende betalinger i [en streamingtjeneste].
…”
Den 28. august 2021 har klageren indbragt sagen for Ankenævnet.
Under sagens forberedelse i Ankenævnet har banken besluttet at godtgøre klagerens tab fratrukket 8.000 kr. svarende til 977,89 kr.
Parternes påstande
Den 28. august 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Arbejdernes Landsbank skal godtgøre ham hele transaktionen og dermed tilbageføre 8.000 kr. til ham.
Arbejdernes Landsbank har nedlagt påstand om principalt frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at han er blevet svindlet, og at banken bør holde ham skades- løs og tilbageføre beløbet til ham.
Han var i god tro, idet han få uger tidligere havde tilmeldt sig streamingtjenesten, der i mailen bad om hans kortoplysninger til fremtidige betalinger.
Han kontaktede banken dagen efter og spærrede straks sit kort, men på trods af dette blev der efterfølgende trukket 8.977,89 kr. på hans konto.
Banken burde med det samme kunne se, at der var foretaget en transaktion og fået den stoppet. Den burde have kontaktet ham for at kontrollere, om det var et køb, som han havde foretaget, da transaktionen var helt atypisk og blev betalt i EUR. Banken har således ikke gjort, hvad den kunne for at stoppe svindlen. Selv havde han ingen mulighed for at se transaktionen, før den blev trukket på hans konto.
Arbejdernes Landsbank har til støtte for frifindelsespåstanden anført, at Nets har oplyst, at betalingen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.
Betalingen blev godkendt med klagerens NemID-nøgleapp på klagerens mobiltelefon.
Når kortholder godkender en betaling med NemID, bliver kortholder præsenteret for beløbsmodtagers navn, beløb og valuta tre gange - første gang når kortholder skal indtaste sit bruger-id og kodeord, anden gang når kortholder skal trykke, om kortholder vil godkende transaktionen med NemID-nøgleapp eller SMS-kode og tredje gang, når betalingen godkendes med NemID-nøgleappen.
Klageren har anført, at han tidligere havde tilmeldt sig streamingtjenesten, hvilket må skulle forstås som en undskyldende omstændighed. Uagtet om klageren ved første øjekast på mailen måtte være kommet i en vildfarelse omkring, hvem afsender af mailen var, burde klageren være kommet ud af denne vildfarelse senest ved modtagelse af de meget tydelige betalingsoplysninger i NemID-nøgleappen. Det må altid som minimum kunne forventes, at en betaler læser teksten i NemID-nøgleappen, inden denne godkender/autoriserer en betalingstransaktion.
Klageren hæfter for 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 2 og 3. Godkendelsen af betalingen via NemID-nøgleappen må som minimum kunne sidestilles med den situation, hvor en personlig sikkerhedsforanstaltning med forsæt videregives til den, der foretager den uberettigede anvendelse. Samtidig må det også anses som groft uforsvarlig adfærd, at klageren indtastede sine kortoplysninger og godkendte betalingen via NemID-nøgleappen.
Yderligere må det anses som groft uforsvarlig adfærd, at klageren godkendte transaktionen via sin NemID-nøgleapp på trods af den tydelige information om, at han var i gang med at godkende en betaling på 1.189 EUR til F.
Klageren befandt sig ikke i en presset situation svarende til f.eks. en situation, hvor misbrug sker i forbindelse med en telefonisk henvendelse.
Banken havde ikke mulighed for at tilbagekalde betalingsordren, jf. betalingslovens § 111.
Til støtte for afvisningspåstanden har banken anført, at en afklaring af klagerens forsæt og burde-viden kræver en parts- og vidneforklaring, som medfører, at sagen ikke er egnet til behandling for Ankenævnet.
Ankenævnets bemærkninger
Klageren har gjort indsigelse mod en transaktion på 1.189 EUR til et udenlandsk firma, F, svarende til 8.977,89 kr. foretaget den 4. august 2021.
Klageren har oplyst, at han den 4. august 2021 modtog en mail, der fremstod som om, at den kom fra en streamingtjeneste, som han få uger tidligere havde tilmeldt sig. Streamingtjenesten udbad sig kortoplysninger til fremtidige betalinger. Efter at have klikket på et link i mailen, indtastede han sine kortoplysninger og skulle efterfølgende godkende disse på sin telefon, hvilket han gjorde.
Klageren gjorde over for banken indsigelse mod transaktionen. Banken afviste i første omgang at tilbageføre noget beløb til klageren.
Under sagens forberedelse i Ankenævnet har banken besluttet at godtgøre klagerens tab fratrukket 8.000 kr. svarende til 977,89 kr.
Banken har oplyst, at den omtvistede betaling med klagerens betalingskort blev fore-taget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.
Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen.
Klageren har anført, at han ikke godkendte betalingen af 1.189 EUR til F.
Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Ankenævnet finder endvidere, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.
Efter lov om betalinger § 100, stk. 4, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).
Tre medlemmer – Henrik Waaben, Bjarke Svejstrup og George Wenning - udtaler:
Vi lægger til grund, at klageren må have godkendt betalingen på 1.189 EUR i sin NemID-nøgleapp.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da klageren burde have reageret på teksten i NemID-nøgleappen, hvor han fik oplysninger om, at der var tale om en overførsel af 1.189 EUR til F, og at klageren som følge heraf hæfter med op til 8.000 kr.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Jacob Ruben Hansen og Jørn Ravn - udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger.
Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr. af tabet på 8.977,89 kr., jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 7.625 kr. til klageren.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.
Klageren får klagegebyret tilbage.