Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagsnummer: 509/2022
Dato: 23-06-2023
Ankenævn: Henrik Waaben, Inge Kramer, Kritte Sand Nielsen, Tina Thygesen og Kim Korup Eriksen.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.
Indklagede: Nordea Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører en indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor han havde en konto med et tilknyttet betalingskort (-539).

Den 16. november 2022 blev der debiteret en kortbetaling på 14.284,65 DKK på klagerens konto i banken, som klageren ikke kan vedkende sig. Klageren kendte ikke beløbsmodtageren, firmaet F.

Om baggrunden for transaktionen har klageren oplyst, at han modtog en e-mail, der så ud til at komme fra Simply.com, hvor han bl.a. har sin hjemmeside. Af e-mailen fremgik, at de manglede betaling for fornyelse af domæne, og regningen lød på 190 DKK. Da han var ved at færdiggøre betalingen med MitID, men endnu ikke havde swipet for at godkende, gik hans MitID-app ned, hvorfor han ikke kunne gennemføre betalingen. Imens han forsøgte at få det op at køre igen, overvejede han, om der kunne være risiko for svindel, hvilket han fik bekræftet ved en søgning på internettet. E-mailen er ikke fremlagt i sagen.

Banken har fremlagt et skærmprint fra sit system med følgende tekst, som klageren modtog i MitID-appen:

”Betal 1900,99 EUR til [firmaet F] fra kort xx[x]539”

Banken har anført, at klageren godkendte betalingen.

Den 17. november 2022 indgav klageren indsigelse til banken.

Ved brev af 24. november 2022 til klageren oplyste banken, at den dækkede 6.284,65 DKK, og at klageren selv hæftede for 8.000 DKK.

Banken har oplyst, at den til behandlingen af sagen indhentede oplysninger fra Nets. Af en fremlagt udskrift fremgår:  

”Disclaimer:
Nets Fraud Operation kan derfor kun bekræfte, at vi ikke er bekendt med, at der skulle være opstået tekniske svigt eller fejl hos Nets i forbindelse med de pågældende transaktioner.”

Banken har fremlagt en transaktionsliste fra Nets vedrørende en transaktion foretaget den 13. november 2022 fra klagerens betalingskort -539 til firmaet F. Valuta og beløb er angivet til 1.900,99 EUR, og under status står ”approved”. Endvidere fremgår beløbet 14.284,65 DKK.

Klageren klagede over bankens afgørelse, og banken fastholdt afgørelsen.

Banken har fremlagt sine regler for Dankort og Visa/Dankort.

Parternes påstande

Den 6. december 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbageføre 7.625 DKK.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han alene vil betale 375 DKK og ikke 8.000 DKK, da han på ingen måde har handlet groft uagtsomt.

Han modtog en e-mail fra Simply.com, der er et webhotel, hvor han har sin hjemmeside og webhotel. Af e-mailen fremgik, at de manglede betaling for fornyelse af domæne, og regningen lød på 190 DKK, som ikke er usædvanligt. Da det ikke var så længe siden, han havde skiftet bank og hævekort, og da e-mailen ikke var havnet i hans spamfilter, undrede han sig i starten ikke over det. Det passede også med, at betalingen plejer at skulle falde omkring det tidspunkt.

Da han var ved at færdiggøre betalingen via MitID, men endnu ikke havde swipet for at godkende, gik hans MitID-app ned, og han kunne derfor ikke færdiggøre betalingen. Mens han forsøgte at få det op at køre igen, begyndte han at tænke lidt over, om der var en lille risiko for, at det kunne være svindel, og han begyndte at undersøge sagen nærmere på Google. Han kunne se, at der desværre er en del, der har været igennem det samme, men da han ikke havde nået at swipe for at godkende betalingen på de kun 190 DKK, tænkte han, at han måske havde været heldig og var sluppet med nød og næppe.

Han videregav ikke nogen passwords, koder eller lignende.

Han blev ikke præsenteret for beløbet 1.900,99 EUR og heller ikke for, at han var ved at foretage et køb hos F. Han kigger altid i teksten på MitID, inden han swiper, men han nåede slet ikke så langt, før hans telefon crashede (gik ned), og han kunne ikke gøre noget. Han kan derfor ikke forstå, at banken anfører, at man kan se, at han har swipet for at godkende. Det må vel betyde, at svindlerne på en eller anden måde kunne overtage resten af forløbet. Netop derfor kan han ikke forstå, at MitID (Nets) og banken ikke har et medansvar. Det er en helt urimelig påstand at skrive ”groft uforsvarlig adfærd” fra hans side. Banken er desuden også bekendt med, at han kort forinden havde fået nyt Visakort.

Han henleder opmærksomheden på Forbrugerombudsmandens hjemmeside, hvor det står klart, at en selvrisiko på 375 DKK er passende i forhold til hændelsesforløbet og hans adfærd.

Nordea Danmark har anført, at forholdet er omfattet af betalingslovens § 100, stk. 4, og bankens kortregler for Visa/Dankort.

Betalingen på 1.900,99 EUR er korrekt registreret, bogført og i øvrigt ikke fejlbehæftet.

Klageren har erkendt at have godkendt betalingen via MitID-app blot med et andet beløb.

Klageren indtastede i forbindelse med gennemførelsen af transaktionen på 14.284,65 DKK sit selvvalgte MitID-brugernavn, hvorefter klageren blev præsenteret for teksten ”Betal 1900,99 EUR til [F] Fra kort xxx539”. Derfor kan der ikke være tvivl om, at klageren godkendte betalingen på netop dette beløb. Klageren har i sin indsigelse til banken oplyst, at MitID-appen gik ned i forbindelse med, at klageren swipede for gennemførelsen af overførslen. Nets har imidlertid bekræftet over for banken, at transaktionen gik igennem uden fejl. At klageren gennem processen med betalingen på den hjemmeside, som han var blevet linket til, så, at han kun skulle betale 190,00 DKK, ændrer ikke herpå.

Når klageren valgte at godkende et beløb på 1.900,99 EUR – mod en forventet betaling på 190,00 DKK - som han efterfølgende ikke vil vedkende sig, så var selve godkendelsen af betalingen i MitID-appen groft uforsvarlig adfærd fra klagerens side, hvorfor banken var berettiget til at tage en selvrisiko på 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnets bemærkninger

Den 16. november 2022 blev der debiteret en kortbetaling på 14.284,65 DKK på klagerens konto i Nordea Danmark, som klageren ikke kan vedkende sig. Klageren kendte ikke beløbsmodtageren, firmaet F.

Om baggrunden for transaktionen har klageren oplyst, at han modtog en e-mail, der så ud til at komme fra Simply.com, hvor han bl.a. har sin hjemmeside. Af e-mailen fremgik, at de manglede betaling for fornyelse af domæne, og regningen lød på 190 DKK. Da han var ved at færdiggøre betalingen med MitID, men endnu ikke havde swipet for at godkende, gik hans MitID-app ned, hvorfor han ikke kunne gennemføre betalingen. Imens han forsøgte at få det op at køre igen, overvejede han, om der kunne være risiko for svindel, hvilket han fik bekræftet ved en søgning på internettet.

Klageren gjorde indsigelse mod transaktionen over for banken, der godtgjorde ham 6.284,65 DKK, svarende til det betalte beløb fratrukket 8.000 DKK.

Banken har oplyst, at den omtvistede betaling med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse med MitID.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Henrik Waaben, Inge Kramer og Kritte Sand Nielsen – udtaler:

Vi finder det godtgjort, at klageren må have godkendt betalingen på 1.900,99 EUR med sit MitID. Vi har herved lagt vægt på udskriften med teksten, som klageren modtog i MitID-appen.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID-appen, hvor han fik oplysninger om beløbet på 1.900,99 EUR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Tina Thygesen og Kim Korup Eriksen – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf.  betalingslovens § 100, stk. 3.  

Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.  

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.