Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagsnummer:303/2021
Dato:05-05-2022
Ankenævn:Vibeke Rønne, Bjarke Svejstrup, Karin Sønderbæk, Poul Erik Jensen og Jacob Ruben Hansen
Klageemne:Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.
Indklagede:Nykredit Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører en indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagens omstændigheder

Klageren var kunde i Nykredit Bank, hvor han havde et betalingskort.

Den 6. maj 2021 blev klagerens betalingskort anvendt til en betaling til et udenlandsk firma, firma F, på i alt 1.999,04 EUR, svarende til 15.017,30 kr., som klageren ikke kunne vedkende sig.

Klageren har oplyst, at han afventede en pakke fra udlandet. Den 6. maj 2021 modtog han en e-mail fra et postfirma, postfirma P, hvori han blev bedt om at betale porto på 27,27 kr., før hans pakke kunne leveres. Han trykkede på linket i e-mailen og indtastede sine kontooplysninger og godkendte betalingen med NemID.

Den 10. maj 2021 blev transaktionen bogført på klagerens konto, og klageren opdagede samme dag, at der var blevet trukket 15.017,30 kr.   

Banken har oplyst, at betalingen med klagerens betalingskort blev foretaget med sikkerhedsløsningen 3D Secure, idet betalingen blev godkendt i klagerens NemID-nøgleapp.

Banken har endvidere oplyst, at den på forespørgsel til Nets har fået oplyst, at klageren blev vist følgende tekst i forbindelse med godkendelsen i NemID-nøgleappen:

”…

Betal 1999,04 EUR til [firma F] fra kort xx1480

…”

Klageren har oplyst, at han ikke fik vist ovennævnte tekst, men kun en tekst, hvoraf de 27,27 kr. fremgik. Klageren har fremlagt et screen shot, hvoraf der blandt andet fremgår:

”…

Bekræftelse med NemID

Netbutik:          [postfirma P]

Beløb:              27.27 DKK

Dato:                06/05/2021

Kortnummer:   XXXXXXXXXXXX1480

NEM ID

Godkend med nøgleapp

Send anmodning om godkendelse til dine nøgleapps på mobil/tablet

Send

…”

Den 10. maj 2021 gjorde klageren indsigelse mod transaktionen over for banken.

Den 18. maj 2021 afviste banken klagerens indsigelse.

Den 25. maj 2021 indgav klageren en klage til banken. Banken gav klageren delvist medhold i klagen og oplyste, at den ville dække hans tab fratrukket 8.000 kr.

Banken har fremlagt et udateret dokument, hvori klageren har besvaret spørgsmål fra banken. Det fremgår blandt andet heraf:

”…

- Hvad er grunden til, at du har skærmbillede af betalingen til Nets?

Jeg tager ofte screenshots, som en sikkerhed og kvittering af køb.

- Ventede du på en pakke?

Ja, jeg ventede på en pakke fra England. Pakken var blevet sendt d. 26. april. Og jeg var sikker på at det var den, der var havnet hos [postfirma P].

- Hvor mange gange tidligere har du oplevet en opkrævning fra [postfirma P]?

Jeg har ikke tidligere modtaget opkrævninger, fra [postfirma P]. Jeg har tidligere modtaget pakker fra England, men det var inden brexit.

Jeg mener jeg er i min gode ret til at få dækket det fulde beløb. Jeg har handlet i god tro, og haft tillid til at det faktisk var [postfirma P] jeg overførte til.

Samtidig forventer jeg at, jeg har en bank der støtter sine kunder ved svindel med betalinger på nettet. Derfor ønsker jeg det fulde beløb erstattet.

Da jeg ikke har modtaget en sms kode ved indbetaling, er jeg berettiget til fuld erstatning.

…”

Parternes påstande

Den 3. juli 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Nykredit Bank skal godtgøre ham hele transaktionen og dermed betale 8.000 kr.

Nykredit Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han ikke bør hæfte for transaktionen.

Han godkendte transaktionen på de 27,27 kr. Han fik ikke vist teksten med det beløb, der rent faktisk blev trukket. Ellers havde han aldrig godkendt beløbet. Han kunne ikke vide, at der var tale om svindel, da alt så normalt ud. Han blev svindlet og er i sin gode ret til at få hele beløbet dækket af banken.

Det fremgår af Forbrugerrådets hjemmeside, at forbrugeren skal modtage en sms-bekræftelse på beløbet, ellers er forbrugeren berettiget til at få hele beløbet erstattet af sit pengeinstitut. Han modtog ikke en sms-bekræftelse, og han kunne derfor ikke vide, at der blev trukket et helt andet beløb end de 27,27 kr.

Banken har efter en lang e-mail korrespondance tilbudt at dække beløbet ud over de 8.000 kr., men banken bør dække det fulde beløb.

Nykredit Bank har til støtte for frifindelsespåstanden anført, at det fremgik klart og tydeligt for klageren, at betalingsmodtageren var firma F og at beløbet var 1.999,04 EUR, da han godkendte betalingen i NemID-nøgleappen.

Klageren burde have læst teksten forbundet med godkendelsen og burde have indset, at der var tale om svindel. Klageren burde samtidig have været skeptisk over for e-mailen, der hverken oplyste årsagen til betalingen eller hvilken pakke det vedrørte. Det må anses for meget usædvanligt, at man bliver bedt om at betale før en pakke kan leveres. Klageren oplyser selv, at han ikke tidligere har oplevet at modtage lignende henvendelser. Han burde derfor have undersøgt forholdet yderligere, førend han gennemførte betalingen. Såfremt klageren havde undersøgt forholdet inden han initierede betalingen eller havde læst teksten forbundet med NemID godkendelsen, så havde den uberettigede anvendelse været forhindret.

Klageren muliggjorde således ved groft uforsvarlig adfærd den uberettigede anvendelse. Klageren bør derfor selv hæfte med 8.000 kr. for tabet, jævnfør Betalingslovens § 100, stk. 4.

En betaling foretaget med 3D-secure kan godkendes på to måder. Den kan enten godkendes med en sms-kode, der sendes til et tilknyttet telefonnummer, eller med NemID. Da klagerens betaling blev godkendt med NemID-nøgleappen, modtog klageren ikke samtidig en sms-kode. Det er helt sædvanligt, at man ikke også modtager en sms-kode, når man godkender med NemID. Det er ikke et udtryk for, at betalingen ikke er korrekt godkendt.

Betalingen blev således korrekt godkendt med stærk kundeautentifikation, og klageren har selv forklaret, at han godkendte betalingen med NemID. At klageren ikke også modtog en sms-kode kan ikke føre til, at klageren ikke skal hæfte for betalingen.

Ankenævnets bemærkninger

Den 10. maj 2021 gjorde klageren indsigelse mod en transaktion på 1.999,04 EUR foretaget den 6. maj 2021 til et udenlandsk firma, firma F.

Om baggrunden for transaktionen har klageren oplyst, at han afventede en pakke fra udlandet. Den 6. maj 2021 modtog han en e-mail fra et postfirma, postfirma P, hvori han blev bedt om at betale porto på 27,27 kr., før hans pakke kunne leveres. Han trykkede på linket i e-mailen og indtastede sine kontooplysninger og godkendte betalingen med NemID.

Banken har oplyst, at den omtvistede betaling med klagerens betalingskort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jævnfør lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jævnfør lov om betalinger § 93.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.

Klagerens NemID er en personlig sikkerhedsforanstaltning, jævnfør lov om betalinger § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jævnfør lov om betalinger § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Tre medlemmer – Vibeke Rønne, Bjarke Svejstrup og Karin Sønderbæk – udtaler:

Vi finder det godtgjort, at klageren har godkendt betalingen på 1.999,04 EUR i sin NemID-nøgleapp.

Vi finder, at banken herved har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da klageren burde have reageret på teksten i NemID-nøgleappen, hvor klageren fik oplysninger om, at der var tale om en overførsel af 1.999,04 EUR til firma F.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Jacob Ruben Hansen og Poul Erik Jensen – udtaler:

Vi finder ikke, at klageren har udvist groft uforsvarlig adfærd, idet det må forudsættes at klageren, såfremt klageren havde forudsætninger for at gennemskue svindlen, ikke ville have godkendt transaktionen. Klageren forventede en pakke fra udlandet og var derfor i god tro om, at det var realistisk, at der manglede betaling af et mindre beløb. Klageren oplyser, at beløbet først ændrede sig, da han havde godkendt transaktionen. 

Forbrugere har forskellige forudsætninger for at gennemskue svindel, og det må aldrig blive utrygt for den almindelige forbruger at anvende de betalingstjenester, der er udviklet og svære at komme uden om.

Hertil bemærkes, at begrebet "groft uforsvarlig adfærd" angiver, at grov uagtsomhed i almindelig forstand ikke er tilstrækkelig til at pådrage betaleren hæftelse efter bestemmelsen.

Idet der er tale om en væsentlig skærpelse af ansvarsbetingelsen ift. begrebet "grov uagtsomhed", som normalt anvendes som en betegnelse for "tilsidesættelse af den agtpågivenhed, som selv skødesløse personer plejer at udvise", må der forudsættes en udvidet beskyttelse af forbrugeren, og dermed at der pålægges et udvidet ansvar hos udbyderen af betalingsløsningen.  

Klageren udtaler, at det beløb, der er godkendt, efter godkendelsen er ændret fra 27,27 kr. til 1.999,04 EUR. Klageren har godtgjort ved billeddokumentation, at der er tale om avanceret svindel, hvor det beløb klageren har oplyst at godkende, rent faktisk er det beløb, der fremgår undervejs i godkendelsesprocessen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, og der er ikke belæg for at lægge til grund, at der i sager med phishing, hvor forbrugeren oplever, at beløbet ændrer sig efter transaktionen er godkendt, ikke er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger hvor beløbet først ændres efter transaktionen er godkendt.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem forbrugeren anvender, gør transaktionen tilstrækkeligt tydelig, herunder at udformningen af den tekst forbrugeren godkender, fremgår tydeligt. 

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt hæfter klageren for 375 kr. af tabet på 15.017,30 kr., jævnfør betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at klageren får medhold i klagen.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.