Indsigelse mod at hæfte for kontooverførsler og korttransaktioner. Spørgsmål om opkrævning af to gange 8.000 DKK for misbrug af Visa/Dankort og MasterCard.
| Sagsnummer: | 72/2024 |
| Dato: | 04-12-2024 |
| Ankenævn: | Bo Østergaard, Inge Kramer, Mette Lindekvist Højsgaard, Rolf Høymann Olsen og Kim Korup Eriksen. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ubegrænset hæftelse |
| Ledetekst: | Indsigelse mod at hæfte for kontooverførsler og korttransaktioner. Spørgsmål om opkrævning af to gange 8.000 DKK for misbrug af Visa/Dankort og MasterCard. |
| Indklagede: | Nordea Danmark |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for kontooverførsler og korttransaktioner. Spørgsmål om opkrævning af to gange 8.000 DKK for misbrug af Visa/Dankort og MasterCard.
Sagens omstændigheder
Klageren var kunde i Nordea Danmark, hvor hun blandt andet havde en konto -745, et Visa/Dankort -736 og et MasterCard -304. Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf blandt andet fremgår, at klageren den 9. december 2021 aktiverede MitID -433 på en iPad.
Klageren har oplyst, at hun blev kontaktet af en person, person A, der udgav sig for at være en ansat i banken, som oplyste hende, at svindlere havde forsøgt at hæve penge på hendes konto. Klageren har oplyst, at person A viderestillede hende til en anden person, person B, der udgav sig for at være fra en betjent fra kriminalpolitiet. Klageren har oplyst, at person B rådede hende til at flytte sine penge i sikkerhed.
Den 23. oktober 2022 blev der foretaget to kontooverførsler på henholdsvis 41.112 DKK og 44.250 DKK fra klagerens konto -745 til betalingsmodtagere med konti -625 og -311 i pengeinstitut P og pengeinstitut P2.
Banken har fremlagt en udskrift fra klagerens MitID-log og har anført, at klageren gennemførte kontooverførslerne ved at indtaste sit brugernavn og adgangskode til MitID, og at hun godkendte overførslerne ved at swipe i MitID. Banken har herudover anført, at den som en ekstra sikkerhedsforanstaltning sendte SMS-beskeder til klagerens mobiltelefonnummer, og at klageren svarede ”Ja” til, at overførslerne skulle gennemføres, hvorefter kontooverførslerne blev gennemført.
Banken har fremlagt en udskrift af en SMS-log, hvoraf fremgår, at der den 23. oktober 2022 blev sendt to SMS-beskeder til telefonnummer -052, hvoraf fremgår:
”Bekræft overførsel af [44.250,00 DKK/41.122,00 DKK] til konto [-311/-625]. Svar JA, hvis den skal gennemføres – NEJ, hvis den ikke skal gennemføres. Har du ikke selv oprettet betalingen kontakt Nordea 24/7 på 70334060. Venlig hilsen Nordea.”
Disse SMS-beskeder blev besvaret med et: ”Ja”, hvorefter der blev sendt to SMS-beskeder til telefonnummer -052, hvoraf fremgår:
”Overførsel på [44.250,00 DKK/41.122,00 DKK] gennemføres. Venlig hilsen Nordea.”
Den 23. oktober 2022 blev der foretaget to korttransaktioner på henholdsvis 14.901,21 DKK og 3.480 GPB, som svarede til 30.058,03 DKK, med klagerens Visa/Dankort -736 og MasterCard -304 til betalingsmodtagerne M og MP, som klageren ikke kan vedkende sig.
Banken har anført, at klageren ved kortbetalingen på henholdsvis 14.901,21 DKK modtog følgende meddelelser i MitID -433:
”Betal 14901,21 DKK til [betalingsmodtager M] fra kort [-736]”
Banken har anført, at klageren ved kortbetalingen på 3.480 GBP modtog følgende meddelelse i MitID -433
”Betal 3480,00 GBP til [betalingsmodtager MP] fra kort [-304]”
Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf blandt andet fremgår:
”…
23-10-2022 19:09:42.273 CEST App – autentificering lykkedes
…
MitID identifikationsmiddel-ID [-433]
…”
Af samme udskrift fremgår herudover:
”…
23-10-2022 20:20:22.023 CEST App – autentificering lykkedes
…
MitID identifikationsmiddel-ID [-433]
…”
Banken har anført, at klageren godkendte begge betalinger ved at swipe i MitID -433 og har fremlagt en udskrift af en transaktionsoversigt, hvoraf fremgår, at begge betalinger blev gennemført ved 3D-secure.
Klageren indgav den 23. oktober 2022 anmeldelse til politiet om, at hun havde været udsat for bedrageri.
Samme dag blev klagerens adgang til NemID spærret.
Den 24. oktober 022 blev klagerens Visa/Dankort -736 og MasterCard -304 spærret.
Ved tro og love-erklæring af 28. oktober 2022 gjorde klageren indsigelse mod de to kontooverførsler på hhv. 44.250 DKK og 41.122 DKK og korttransaktionen på 14.901,21 DKK.
Af tro og love-erklæringen fremgår herudover blandt andet:
”…
|
… |
||
|
Er du på noget tidspunkt blevet bedt om at oplyse dit NemID/Mit-ID brugernavn og Password til personer du ikke kender? |
JA |
NEJ |
|
X |
|
|
|
Hvis ja, til hvem? |
I forbindelse med svindelopkaldet fra Nordea |
|
|
Phishing/Vishing: |
||
|
… |
||
|
|
||
|
Har du modtaget et telefonopkald hvori du blev bedt om at oplyse dit NemID brugernavn, NemID kodeord og koder fra dit NemID nøglekort |
JA |
NEJ |
|
X |
|
|
|
Hvis JA – hvilket telefonnummer blev der ringet fra? |
Ukendt nummer |
|
|
… |
||
|
Hændelsesforløb: |
||
|
Giv en beskrivelse af hændelsesforløbet: Modtager opkald fra Nordea hvor jeg bliver gjort opmærksom på at der bliver forsøgt at hæve penge på min konto. Damen fra Nordea lyder meget professionel og eftersom jeg har oplevet lignende opkald fra et tidligere tilfælde hvor min pengepung var stjålet, og der ringede Nordea også til mig, så fattede jeg ikke uro. Hun fortalte kort at hun ville omstille til mig til kriminalpolitiet og efterfølgende blev jeg omstillet til hvad jeg troede var en betjent. Igen meget professionel og han hjalp med at flytte mine penge i sikkerhed. Han ringede tilbage flere gange og jeg var ikke på noget tidspunkt i tvivl om, at jeg ikke talte med politiet. Først da jeg ringede min datter gik det op for hende at jeg var blevet udsat for svindel. Men det er svært at vide hvornår det er Nordea og politiet som ringer, og når det ikke er.
|
||
Du skal krydse af på en af 3 følgende scenarier:
…
[X] Jeg har selv foretaget de ovenstående transaktioner på baggrund af 3. mands urigtige oplysninger omkring formålet af overførslerne.
…”
Ved brev af 8. november 2022 meddelte banken klageren, at det var lykkedes den at få tilbageført i alt 18.867 DKK af de to kontooverførsler på i alt 85.372 DKK fra pengeinstitut P og P2, og at klageren hæftede for de resterende 66.505 DKK.
Ved brev af 9. november 2022 meddelte banken klageren, at den dækkede 6.901,21 DKK af klagerens Visa/Dankort-korttransaktion på 14.901,21 DKK, hvorfor klageren hæftede for 8.000 DKK.
Ved tro og love-erklæring af 28. november 2022 gjorde klageren indsigelse mod kortransaktionen på 3.480 GPB, som svarede til 30.058,03 DKK. Af tro og love-erklæringen fremgår blandt andet:
”Jeg har hverken deltaget i eller godkendt nedennævnte transaktion(er).
…
For at kunne behandle sagen har vi brug for en udførlig beskrivelse af, hvorfor du gør indsigelse.
…
[Klageren] er blevet udsat for et svindelopkald d. 23.10 hvor hendes visa og mastercard samt mitid/nemid er blevet spærret. [Klageren] ved ikke at hendes mastercard har været involveret før regning til Mastercard kommer med posten d. 25.11. Der er en sag i forvejen. …
…”
Klageren har oplyst, at banken den 2. december 2022 sendte hende et brev, hvoraf fremgår, at den ville dække hendes tab for MasterCard-korttransaktionen på 30.058,03 DKK fratrukket 8.000 DKK.
Den 5. december 2022 anmodede klageren banken om at få tilbageført de resteredende 74.505 DKK.
Ved brev af 14. december 2022 fastholdt banken sin afgørelse af 8. og 9. november 2022 og meddelte herudover klageren, at den dækkede 22.058,03 DKK af klagerens MasterCard-korttransaktion på 30.058,03 DKK, hvorfor klageren hæftede for 8.000 DKK.
Parternes påstande
Den 6. februar 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal godtgøre hende 74.505 DKK.
Nordea Danmark har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at hun har modtaget tre breve fra banken med to forskellige behandlinger af samme svindelsag. Banken vedkendte i brev af 8. november 2022, at hun var blevet manipuleret til selv at overføre beløbene. I brev af 9. november 2022 vedkendte banken, at hun var blevet udsat for svindel. I det ene brev meddelte banken, at der ville være en selvrisiko på 8.000 DKK, da hendes personlige sikkerhedsløsning var anvendt. Den 2. december 2022 meddelte banken igen, at den ville dække hendes tab med fradrag af 8.000 DKK.
Hun har været en loyal kunde i banken i mere end 40 år. Hun er blevet udsat for phishing og økonomisk svindel, og banken valgte at behandle forholdene forskelligt fra afdeling til afdeling. Behandlingen modsagde sig selv. Banken må ikke lave en forskellig behandling fra den ene sag til den anden.
Hun var blevet manipuleret. Hun var blevet udsat for svindel. Der er lavet politirapport, og der er mange beviser for, at hun var blevet udsat for phishing, hvor svindleren udnyttede en ældre person som hende selv, og som satte hende i en stresset situation, hvor frygten for at blive udsat for svindel og miste sin opsparing pressede hende til at udlevere både CPR-nummer, personlige koder og koder til NemID/MitID.
Bankens sikkerhed var ikke god nok, da svindlen skete. Hvis bankens sikkerhed var god, ville der ikke efterfølgende have været behov for ændringer. MitID er blevet opdateret og beløbsgrænser er blevet indført af sikkerhedsmæssige grunde for at beskytte kunder og samfundet mod økonomisk kriminalitet. Hun bør ikke have det fulde ansvar. Hvis bankerne anerkender, at det er et problem, bør de ikke afvise at hjælpe kunder, som er blevet udsat for svindel.
Det kan ikke være rigtigt, at man ikke er beskyttet mod manipulation og svindel. Havde det været et bankrøveri i banken, så havde bankkundens penge været beskyttet, men dette er en moderne variant af et bankrøveri. Gennemført ved manipulation og organiseret svindel af svage kunder, der ikke er beskyttede af banken, og som taber alt ved dette uden nogen hjælp efterfølgende af banken.
Hun var blevet opkrævet 8.000 DKK to gange i samme svindelforløb. Det giver ingen mening. Hvis hun var blevet udsat for et indbrud i hjemmet, så ville forsikringsselskabet ikke have pålagt hende mere end en selvrisiko.
Banken bør tilbagebetale hende de resterende 29.222 DKK fra kontooverførslen på 41.122 DKK, 37.283 DKK fra kontooverførslen på 44.250 DKK og 8.000 DKK i for meget opkrævet selvrisiko.
Nordea Danmark har vedrørende kontooverførslerne anført, at kontooverførslerne er autoriserede overførsler.
Overførslerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl. Klageren anerkender i tro og love-erklæringen, at hun selv foretog overførslerne. Hun har herudover sat ”X” i feltet ”Jeg har selv foretaget de ovenstående transaktioner på baggrund af 3. mands urigtige oplysninger omkring formålet af overførslerne”.
Klageren har benyttet sin sædvanlige MitID-enhed, hvorpå hun godkendte begge overførsler med denne. Herudover svarede klageren ”Ja” til de SMS´er, som hun modtog vedrørende overførslernes gennemførelse. Teksten i SMS’erne var meget tydelige omkring, hvad det omhandlede, og med klagerens ”Ja” godkendte hun gennemførslerne.
Kontooverførslerne er autoriserede. Banken er ikke forpligtet til at godtgøre klageren de omhandlede kontooverførsler.
Klageren kan derfor heller ikke påberåbe sig de hæftelsesbegrænsninger, der følger af betalingslovens § 100.
Banken har vedrørende kortmisbruget anført, at korttransaktionerne på 14.901,21 DKK og 3.480 GBP er korrekt registreret, bogført og i øvrigt ikke fejlbehæftet.
Klageren blev præsenteret for beløbene, betalingsmodtagerne og hvilke betalingskort, der blev anvendt i sin MitID, hvorfor der ikke er tvivl om, at klageren godkendte betalingerne på netop disse beløb.
Når klageren valgte at godkende betalingerne, så udgjorde selve godkendelsen af betalingerne i MitID groft uforsvarlig adfærd fra klagerens side, herudover anvendte klageren to betalingsinstrumenter – sit Visa/Dankort og MasterCard - hvorfor banken var berettiget til at opkræve to gange selvrisiko på 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.
Ankenævnets bemærkninger
Klageren var kunde i Nordea Danmark, hvor hun blandt andet havde en konto -745, et Visa/Dankort -736 og et MasterCard -304. Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf der blandt andet fremgår, at klageren den 9. december 2021 aktiverede MitID -433 på en iPad.
Den 23. oktober 2022 blev der foretaget to kontooverførsler på henholdsvis 41.112 DKK og 44.250 DKK fra klagerens konto -745 til betalingsmodtagere med konti -625 og -311 i pengeinstitut P og pengeinstitut P2.
Banken har fremlagt en udskrift fra klagerens MitID-log og har anført, at klageren gennemførte kontooverførslerne ved at indtaste sit brugernavn og adgangskode til MitID, og at hun godkendte overførslerne ved at swipe i MitID. Banken har herudover anført, at SMS-beskederne blev sendt til klagerens mobiltelefonnummer som en ekstra sikkerhedsforanstaltning, og at klageren svarede ”Ja” til, at overførslerne skulle gennemføres, hvorefter kontooverførslerne blev gennemført.
Samme dag blev der foretaget to korttransaktioner på henholdsvis 14.901,21 DKK og 3.480 GPB svarende til 30.058,03 DKK med klagerens Visa/Dankort -736 og MasterCard -304 til betalingsmodtagerne M og MP, som klageren ikke kan vedkende sig.
Banken har anført, at klageren ved kortbetalingen på 14.901,21 DKK modtog meddelelsen: ”Betal 14901,21 DKK til [betalingsmodtager M] fra kort [-736]” i MitID -433. Banken har endvidere anført, at klageren ved kortbetalingen på 3.480 GBP modtog meddelelsen: ”Betal 3480,00 GBP til [betalingsmodtager MP] fra kort [-304]” i MitID -433. Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf blandt andet fremgår, at autentificering ved MitID -433 lykkedes den 23. oktober 2022 kl. 19:09:42 og kl. 20:20:22.
Klageren har oplyst, at hun blev kontaktet af en person, person A, der udgav sig for at være en ansat i banken, om oplyste hende, at svindlere havde forsøgt at hæve penge på hendes konto. Klageren har oplyst, at person A viderestillede hende til en anden person, person B, der udgav sig for at være fra en betjent fra kriminalpolitiet. Klageren har oplyst, at person B rådede hende til at flytte sine penge i sikkerhed.
Ved brev af 8. november 2022 meddelte banken klageren, at det var lykkedes den at få tilbageført i alt 18.867 DKK fra pengeinstitut P og P2 af de to kontooverførsler på i alt 85.372 DKK, og at klageren hæftede for de resterende 66.505 DKK.
Ved brev af 9. november 2022 meddelte banken klageren, at den dækkede 6.901,21 DKK af klagerens Visa/Dankort-korttransaktion på 14.901,21 DKK, hvorfor klageren hæftede for 8.000 DKK.
Klageren har oplyst, at banken den 2. december 2022 sendte hende et brev, hvoraf fremgår, at den ville dække hendes tab for MasterCard-korttransaktionen på 30.058,03 DKK fratrukket 8.000 DKK, så banken dækkede 22.058,03 DKK af klagerens tab.
Vedrørende kontooverførslerne:
Tre medlemmer – Bo Østergaard, Inge Kramer og Mette Lindekvist Højsgaard – udtaler:
Vi finder, at kontooverførslerne blev autoriseret af klageren, jf. betalingslovens § 82, og at der ikke foreligger et misbrug, som banken hæfter for, jf. betalingslovens § 100. Dette gælder, uanset at det må lægges til grund, at klageren blev narret til at foretage overførslerne, ved at person A og person B udgav sig for at være en ansat i banken og en kriminalbetjent.
Vi finder heller ikke, at banken på andet grundlag kan gøres ansvarlig for klagerens tab.
Vi stemmer derfor for, at klageren ikke får medhold i denne del af klagen.
To medlemmer – Rolf Høymann Olsen og Kim Korup Eriksen – udtaler:
Vi finder, at den manipulation, klageren er blevet udsat for i forbindelse med kontooverførslerne, er at sidestille med en situation, hvor klageren har udleveret oplysninger, herunder MitID-oplysninger, SMS-koder mv., og hvor disse er blevet misbrugt til at gennemføre uautoriserede overførsler.
Klageren har været udsat for organiseret svindel i forbindelse med brug af en betalingstjeneste, som forbrugere forudsættes at anvende for at kunne fungere i vores samfund. Det bør ikke have afgørende betydning, om forbrugeren selv har gennemført kontooverførslerne, og forbrugeren bør derfor være beskyttet af samme beløbsmæssige grænse som i situationer omfattet af betalingslovens § 100, stk. 4.
I modsat fald ville der opnås en retsstilling for forbrugere, hvor en mindre betydende divergens på handlinger udført af forbrugeren har uproportionale konsekvenser for en forbrugers økonomi, når det, der grundlæggende er ens i begge situationer, netop er manipulation og organiseret svindel uden for forbrugerens kontrol, og som en forbruger netop skal være beskyttet imod som udtrykt i § 100, stk. 4, hvorfor en analogi af denne bestemmelse er relevant i nærværende sag.
Klageren bør derfor alene hæfte med 8.000 DKK for kontooverførslerne, ligesom i situationer omfattet af betalingslovens § 100, stk. 4.
Vi stemmer derfor for, at klageren skal have tilbagebetalt 58.505 DKK af de overførte beløb.
Der træffes afgørelse efter stemmeflertallet.
Vedrørende kortbetalingerne:
Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.
Ankenævnet lægger til grund, at korttransaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjenester.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Bo Østergaard, Inge Kramer og Mette Lindekvist Højsgaard – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt kortbetalingerne på i alt 44.959,24 DKK i sin MitID.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, hvor hun fik oplysninger om beløbene og beløbsmodtagerne, og at klageren som følge heraf hæfter med op til 8.000 DKK. Da korttransaktionerne er gennemført med et Visa/Dankort og et MasterCard, finder vi, at klageren hæfter med op til 8.000 DKK pr. transaktion. Vi finder, at dette gælder, uanset at det må lægges til grund, at klageren blev narret til at foretage de omtvistede korttransaktioner i forbindelse med et bedragerisk telefonopkald.
Vi stemmer derfor for, at klageren heller ikke får medhold i denne del af klagen.
To medlemmer – Rolf Høymann Olsen og Kim Korup Eriksen – udtaler:
Som ovenfor anført finder vi det godtgjort, at korttransaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel.
Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt korttransaktionerne.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da misbruget vedrører samme hændelsesforløb, som kontooverførslerne, finder vi, at klageren ikke skal hæfte for yderligere beløb.
Vi stemmer derfor for, at banken vedrørende kortbetalingerne skal tilbageføre 16.000 DKK til klageren.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.