Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod hæftelse for misbrug af betalingskort. Spørgsmål om ubegrænset hæftelse som følge af videregivelse af SMS-engangskode efter at have klikket på et link i en mail, der fremstod som om, den kom fra Apple.

Sagsnummer: 418/2017
Dato: 26-06-2018
Ankenævn: John Mosegaard, Jesper Claus Christensen, Karin Sønder-bæk, Troels Hauer Holmberg og Finn Borgquist.
Klageemne: Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ubegrænset hæftelse
Ledetekst: Indsigelse mod hæftelse for misbrug af betalingskort. Spørgsmål om ubegrænset hæftelse som følge af videregivelse af SMS-engangskode efter at have klikket på et link i en mail, der fremstod som om, den kom fra Apple.
Indklagede: Sparekassen Kronjylland
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Medhold klager

 

Indledning

Sagen vedrører klagerens indsigelse mod hæftelse for tredjemands misbrug af hendes betalingskort, herunder spørgsmål om ubegrænset hæftelse som følge af, at hun videregav en SMS-engangskode efter at have klikket på et link i en mail, der fremstod som om, den kom fra Apple.

Sagens omstændigheder

Klageren var kunde i Sparekassen Kronjylland, hvor hun havde en konto med et tilknyttet Visa/Dankort. Af sparekassens Regler for Visa/Dankort fremgik blandt andet:

”…

2. Særlige råd ved handel med Visa/Dankort på nettet

Pas på dit kortnummer

Opgiv aldrig dit kortnummer, med mindre du er i en decideret købssituation, hvor du ønsker at betale for noget. I andre situationer skal du aldrig, selvom du bliver opfordret til det, indtaste dit kortnummer. Hverken som ID, en del af ”medlemsoplysninger” eller for at komme videre til en anden side.

6 Sikre internetbetalinger

Dankort Secured by Nets og Verified by Visa er en ekstra beskyttelse mod misbrug af kortdata ved handel på internettet. Sikkerheden be-står i, at du ved køb på internettet - udover kortet - skal benytte en engangskode, som du modtager fra Nets via SMS i forbindelse med betalingen. Engangskoden skal kun anvendes ved køb i internetforretninger, der anvender Dankort Secured by Nets eller Verified by Visa.

11 Dit ansvar ved misbrug af dit Visa /Dankort

11.1 I tilfælde af, at dit Visa/Dankort har været misbrugt af en anden person vil pengeinstituttet dække tabet, medmindre tabet er omfattet af afsnit 11.2 – 11.6 nedenfor. Det er dit pengeinstitut, der skal bevise, at tabet er omfattet af afsnit 11.2 – 11.6.

11.5 Du hæfter for det fulde tab, hvis PIN-koden har været anvendt i forbindelse med misbruget under følgende betingelser.

  • Du har selv oplyst PIN-koden til den som har misbrugt dit Visa/Dankort, og du indså eller burde have indset, at der var risiko for misbrug.

11.6 Du hæfter endvidere for det fulde tab, hvis du har handlet svigagtigt eller med forsæt har undladt at opfylde dine forpligtelser i henhold til reglerne, herunder til at opbevare kortet eller mobiltelefonen, til at beskytte PIN-koden, jf. afsnit 4, eller til at spærre kortet, jf. afsnit 10.

…”

Sparekassen har fremlagt en udskrift fra Nets’ hjemmeside om sikkerhedsløsninger for kortbetalinger. Heraf fremgår blandt andet:

”…

… For at tilknytte dit mobilnummer til dit/dine kort skal du anvende NemID. …

Vær opmærksom på, at du modtager en engangskode, når det er dig, der starter en handel. Du skal ikke bruge engangskode for at annullere en handel.

…”

Mandag den 4. december 2017 blev der bogført en korttransaktion foretaget med klagerens Visa/dankort på 82.758,30 russiske rubler omregnet til 9.071,76 DKK på klagerens konto.

Ved en mail af 5. december 2017 gjorde klageren over for sparekassen indsigelse mod korttransaktionen og anførte blandt andet:

”…

I går morges vågner jeg til at 9.071,76 kr. Er trukket fra mit visa dankort. Jeg reagerer med det samme, da jeg ved mit kort er blevet misbrugt. Jeg går i banken (sparekassen kronjylland [navn på filial]) og får spæret mit kort med det samme. Får fat telefonisk i afdelingen for indsigelser af misbrug af kort. [Medarbejderens navn] hedder hun. Hun siger hun kan se der er blevet brugt en SMS engangs kode fra nets i torsdags. Og spørger om jeg har handlet online. Jeg siger det gjorde jeg i tirsdags, men ellers ikke. Derefter tjekker jeg min historik efter anbefaling fra jer på min iPad, for at gennemgå de aktiviteter jeg har lavet den torsdag, og det eneste jeg kan komme frem til er fra Apple.

I tirsdags køber jeg en julegave til min far på en svensk side [navn på hjemmesiden]. Her handler jeg i god tro og modtager en besked fra nets med en kode. Den taster jeg og købet bliver gennemført.

To dage efter modtager jeg som jeg tidligere har gjort en besked fra Apple om at min Apple konto er forsøget hacket og jeg skal lave en ny kode (min Apple konto er to gange tidligere blevet hacket, så det er ikke en helt uvant situation for mig). Her handler jeg igen i god tro, og følger linket. Så modtager jeg igen en kode fra nets som jeg taster. Men der sker ikke noget og der kommer straks en til. Jeg tænker ikke videre over det og gør ikke yderligere. Tænker at hvis min konto er spærret når jeg skal bruge den næste gang så må der komme en meddelelse herom. Jeg hverken indtaster nogen personlige oplysninger eller andet udover den SMS kode fra nets der skal give mig adgang til at ændre min Apple id kode.

Jeg får snakket med [medarbejderens navn] fra indsigelsen igår og hun siger at så snart nets er indenover og jeg har tastet denne engangs kode, så kan de intet gøre. Også selvom jeg hverken har tastet kort, konto, reg. Eller noget som helst nummer fra mit kort, ej heller andre personlige oplysninger. Hun mener at så har jeg selv givet mine oplysninger, og givet "tilladelse" til videre forløb derfra. Jeg har hverken handlet for de over 9.000 kr. Eller haft nogen ide om igangværende misbrug af mit kort. Så status er nu at min bank (Jer) ikke kan dække mit tab. Det er åbenlyst for alle parter at jeg ikke har givet samtykke til misbrug af mit kort. Vi kan også alle se hvilken side vi kommer ind på via [navn på russisk hjemmeside]. Her er det mig samt alle andre uforstående, at I ikke dækker tabet i forbindelse med misbruget. Uanset koder eller ej, så er der tale om åbenlyst svindel, og ikke noget jeg har vidst noget som helst om, da jeg modtog en SMS kode fra nets. [Medarbejderens navn] siger også, at efter min handel i tirsdags på [navn på hjemmesiden] sker der ofte det, at svindelnumre bruger samme fremgangsmåde (her nets) for at lokke folk i. Det blev jeg.

Jeg har taget screenshot af min kontoudtog hvor overførelsen figurerer (et russisk firma eller noget) og min historik fra i torsdags hvor jeg via en mail fra Apple forsøger at ændre min kode."

Klageren oplyste endvidere, at hun ligeledes havde anmeldt sagen til politiet.

I et brev af 22. december 2017 til klageren afviste sparekassen at tilbageføre beløbet til klageren og anførte blandt andet:

”…

Ved afgørelsen har Sparekassen lagt særlig vægt på din fremsendte forklaring af forløbet. Du oplyser, at du den 30. november 2017 modtager en mail fra Apple om, at din Apple konto er forsøgt hacket, og de beder dig lave en ny kode ved at følge et link. Du beskriver, at du ikke har afgivet dine kortoplysninger, men at du har modtaget en engangskode fra Nets.

Som det fremgår af bilag 1, fremsendes der kun en engangskode, når det er dig der starter en handel. Derfor vurderer vi, at du må have afgivet dine kortoplysninger. Engangskoden fra Nets er en ekstra sikkerhedsforanstaltning, når du som kortholder handler på internettet. Engangskoden er med til at sikre, at det er kortholderen, der er i gang med at bruge kortet. Denne kode er personlig og må ikke udleveres.

Derudover har Sparekassen lagt til grund, at du oplyser, at du tidligere har modtaget e-mails fra Apple, om at din konto er forsøgt hacket, og hvor de i e-mailen beder dig om at ændre din pinkode. …

Med baggrund i ovenstående er det Sparekassens vurdering, at der ikke er truffet alle nødvendige foranstaltninger for at beskytte dine personlige oplysninger.

Det er endvidere vores vurdering, at du på baggrund af ovenstående burde have vidst, at der var tale om svindel, og du burde derfor ikke have udleveret dine kortoplysninger.

…”

Parternes påstande

Den 29. december 2017 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Kronjylland skal betale 9.071,76 kr.

Sparekassen Kronjylland har principalt nedlagt påstand om afvisning, subsidiært om frifindelse.

Parternes argumenter

Klageren har anført, at hun ikke har godkendt korttransaktionen. Det er åbenlyst, at der er tale om misbrug, idet en russisk website/personerne bag har stjålet over 9.000 kr. fra hendes konto.

Hun handlede i god tro, idet hun troede, at hun fik en mail fra Apple, og hun ville herefter gå ind og ændre sit password. Efter at hun havde klikket på linket i mailen, indtastede hun alene SMS-engangskoden fra Nets. Efter indtastning af koden blev skærmen grå/hvid, og der kom kort tid efter en ny kode fra Nets. Den reagerede hun ikke på. Hun havde hverken foretaget noget køb eller bedt om en mail fra Apple, og hun indtastede ingen personlige oplysninger eller konto-/kortoplysninger.

Det er uforståeligt, at sparekassen kan fralægge sig ansvaret for svindlen og dermed for hendes tab.

Sparekassen Kronjylland har til støtte for afvisningspåstanden anført, at en bevisførelse om de uoverensstemmelser, der er mellem klageren og sparekassen om fremsendelse af engangskoder fra Nets og hændelsesforløbet, kræver en bevisførelse i form af parts- og vidneforklaringer, som ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet bør derfor afvise sagen.

Til støtte for frifindelsespåstanden har sparekassen anført, at som sagen foreligger oplyst, har klageren ikke dokumenteret eller bevist, at hun ikke har oplyst eller afgivet kortoplysninger forud for den fremsendte engangskode fra Nets, som hun har indtastet.

Klageren oplyser, at den mail, som efter det oplyste skulle være sendt fra Apple, havde en anden webadresse, og hun burde have indset, at afsenderen af den omtalte mail ikke var Apple

Da klageren anfører, at hun ikke afgav nogen kortoplysninger, burde hun have indset, at indtastningen af engangskoden var unødvendig.

Klageren oplyser, at hendes Apple konto to gange tidligere har været forsøgt hacket, hvorfor hun burde vide, at Apple, i de tilfælde hvor brugernes konti forsøges hacket, aldrig sender mails ud, hvori de beder deres kunder om at angive personlige oplysninger.

Ankenævnets bemærkninger

Ankenævnet finder ikke, at sagen skal afvises.

Det lægges til grund, at betalingen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. den dagældende lov om betalingstjenester § 64, stk. 1.

Klageren har under sagens behandling i Ankenævnet oplyst, at baggrunden for hævningen var, at hun modtog en mail, der fremstod som om, den kom fra Apple, og hun klikkede på et link i mailen. Hun modtog herefter en SMS-engangskode fra Nets, som hun indtastede. Klageren har oplyst, at hun ikke indtastede sine kortoplysninger eller andre personlige oplysninger. Dette har sparekassen bestridt, idet den har oplyst, at klageren må have indtastet sine kortoplysninger og have startet en handel, ellers vil der ikke blive sendt en SMS-engangskode fra Nets.

Tre medlemmer – John Mosegaard, Troels Hauer Holmberg, og Finn Borgquist – udtaler:

Vi lægger til grund, at hævningen på 9.071,76 kr. på klagerens konto i Sparekassen Kronjylland skyldtes tredjemands misbrug/uberettigede anvendelse af klagerens Visa/Dankort.

Uanset om klageren måtte have indtastet sine kortoplysninger, kan dette ikke i sig selv medføre, at hun hæfter for misbruget.

Vi finder, at SMS-engangskoden ikke er en personlig sikkerhedsforanstaltning i tilknytning til kortet, som omtalt i den dagældende lov om betalingstjenester § 62, jf. Folketingstidende 2008-2009 tillæg A, side 3558, hvoraf det fremgår, at der f.eks. kan være tale om en pinkode, fingeraftryk eller aflæsning af øjets iris, og at en underskrift ikke betragtes som en personlig sikkerhedsforanstaltning.

Vi finder herefter, at den omtvistede hævning var en uautoriseret betaling, som klageren ikke hæfter for, jf. den dagældende lov om betalingstjenester § 61.

Vi stemmer derfor for, at klageren får medhold i klagen.

To medlemmer – Jesper Claus Christensen og Karin Sønderbæk – udtaler:

Fremgangsmåden for sikre internetbetalinger ved brug af engangskoder fra Nets er klart beskrevet i punkt 6 i sparekassens Regler for Visa/Dankort. På baggrund af det faktiske forløb, som klageren har beskrevet, og den viden klageren efter det oplyste har om nethandel og spærring af Apple-id, og den måde Apple-id rent faktisk spærres på, finder vi, at klageren med forsæt har undladt at opfylde sine forpligtelser efter kortreglerne. Klageren hæfter derfor for det fulde tab, jf. betingelserne i sparekassens Regler for Visa/Dankort punkt 11.6, andet led (svarende til § 62, stk. 1, sidste punktum i den dagældende lov om betalingstjenester).

Vi bemærker i denne forbindelse, at en SMS-engangskode må betragtes som en personlig sikkerhedsforanstaltning i tilknytning til kortet i lov om betalingstjenesters forstand (på samme måde som det er det efter lov om betalinger), når koden – som i 3D secure løsningen (Dankort Secured by Nets eller Verified by Visa) – er dannet som en ekstra personlig sikkerhedsforanstaltning ved brug af NemID, og hvor en betaling i en bestemt situation kræver brug af en sådan unik engangskode. Det fremgår i øvrigt af sparekassens Regler for Visa/Dankort, at en kortholder godkender (autoriserer) en betaling med kortet, når koden fra Nets bliver brugt ved køb på internettet.

Vi stemmer herefter for, at der ikke gives klageren medhold.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Sparekassen Kronjylland skal inden 30 dage til klageren betale 9.071,76 kr.

Klageren får klagegebyret tilbage.