Indsigelse mod at hæfte for korttransaktion. Phishing.

Sagsnummer:569/2021
Dato:04-07-2022
Ankenævn: Henrik Waaben, Inge Kramer, Mette Lindekvist Højsgaard, Lisbeth Baastrup Burgaard og Finn Borgquist
Klageemne:Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - groft uforsvarlig adfærd
Ledetekst:Indsigelse mod at hæfte for korttransaktion. Phishing.
Indklagede:Spar Nord Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for korttransaktion. Phishing.

Sagens omstændigheder

Klageren var kunde i Spar Nord Bank, hvor hun havde en konto med et tilknyttet Visa/dankort.

Den 24. november 2021 blev klagerens betalingskort anvendt til en betaling til en betalingsmodtager, F, på 3.900 kr., som klageren ikke kan vedkende sig.

I sagen er fremlagt en SMS sendt til klagerens telefonnummer med følgende tekst:

”Hey [klagerens navn],

vi har din pakke liggende på vores pakkecentral. Se mere her: [link]”

Klageren har oplyst, at hun klikkede på linket i SMS’en og blev omstillet til nogle skærmbilleder, hvor hun kunne klikke på at spore pakken, og hvoraf det herefter fremgik, at hun skulle betale 39 kr. i manglende fragtgebyr. Inden hun godkendte betalingen, tjekkede hun firmaet. Da det eksisterede, godkendte hun herefter betaling af 39 kr. med NemID.

Hun fandt umiddelbart herefter ud af, at F uretmæssigt havde trukket 3.900 kr.

Banken har oplyst, at betalingen blev godkendt i klagerens NemID-nøgleapp, og transaktionen blev foretaget på den IP-adresse, som klageren normalt er tilsluttet. Banken har fremlagt udskrift fra NemID-portalen og nøgleapphistorik for klagerens NemID og har oplyst, at der den 24. november 2021 blev sendt en notifikation til klagerens nøgleapp med følgende tekst:

”Betal 3900 DKK til [F] fra kort xx9438”

Banken har endvidere fremlagt sine Brugerregler for Visa/dankort.

Klageren har oplyst, at da hun fandt ud af, at F havde trukket 3.900 kr., fik hun straks spærret sit kort, og hun mailede til F og bad om at få sine penge retur, men uden held. Hun tog ligeledes screenshots af hele forløbet.

Den 26. november 2021 blev der trukket 3.900 kr. på klagerens konto. Klageren har fremlagt en mail af 26. november 2021 til banken, hvori hun blandt andet anførte:

”Så skete det alligevel – Desværre.

De har nu hævet 3900,- på trods af, at jeg fik spærret mit kort og endda lige umiddelbart efter jeg så de havde skrevet et beløb – at betale – som slet ikke var det aftalte beløb. Som jeg fortalte dig skulle jeg betale 39,- for forsendelse af en pakke – en julegave [navn på klagerens ægtefælle] havde bestilt.

Alt var sat korrekt op ingen stavefejl eller andet der kunne indikere at der var tale om snyd. Der var ovenikøbet et link til sporing af pakken.

Men da de havde modtaget min betaling på 39,- stod der at jeg i stedet skulle betale 3900,- virkelig noget svineri.

Men inden jeg accepterede at betale de 39,- var jeg inde for at undersøge firmaet. Jeg fandt ud af, at det var et firma der sælger skifterammer i forskellige formationer. Nogle formationer [navn på klagerens ægtefælle] havde talt om vi skulle have til at isætte forskellige billeder af [navne].

Da transaktionen på de 39,- var gennemført med NemID opdagede jeg, at der stod påført 3900,- at betale – da var jeg næsten sikker på det var svindel jeg var udsat for. Derfor skyndte jeg mig, at tage screenshot af det hele til dokumentation til brug til min politianmeldelse af firmaet.

…”

Den 1. december 2021 gjorde klageren over for banken indsigelse mod betalingen og medsendte screenshots af forløbet. Hun anførte, at der var blevet hævet et andet beløb, end det hun havde godkendt.

Den 2. december 2021 afviste banken at tilbageføre beløbet, idet den anførte, at klageren selv hæftede for op til 8.000 kr. af misbruget.

Parternes påstande

Den 8. december 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Spar Nord Bank skal betale 3.900 kr.

Spar Nord Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun ikke bør hæfte for transaktionen, idet hun uretmæssigt er blevet frarøvet 3.900 kr. fra sin konto.

Hun fik en besked om, at der lå en pakke til hendes mand og hende, som de skulle betale 39 kr. for i fragt. Hun godkendte de 39 kr., men da transaktionen var gennemført, var der trukket 3.900 kr. i stedet.

Inden hun godkendte transaktionen, tjekkede hun firmaet. Det eksisterede, så hun var i god tro, da hun godkendte betalingen.

Men da hun så, at de uretmæssigt havde trukket 3.900 kr., fik hun straks spærret sit kort, hun mailede til firmaet - uden held – og hun tog herefter screenshots af det hele.

Alt blev sendt til banken, men den afviste hendes indsigelse og senere hendes klage over bankens afgørelse.

Banken anfører, at hun var vidende om, at hun skulle betale 3.900 kr., men det var hun ikke. Hun kunne aldrig drømme om at betale 3.900 kr. i fragt.

Banken antyder også, at hun taler usandt.

Hun kunne aldrig finde på at lyve.

Spar Nord Bank har anført, at klageren selv har godkendt transaktionen på de 3.900 kr., og at dette er sket ved anvendelse af den personlige sikkerhedsforanstaltning Nem- ID.

Klageren har ved at godkende en transaktion, hvor der stod betal 3.900 kr., selv om hun kun ville betale 39 kr., ved groft uforsvarlig adfærd muliggjort den uberettigede hævning.

Uanset at klageren har været udsat for phishing, hæfter hun derfor med op til 8.000 kr. for tabet, jf. lov om betalinger §100, stk. 4, nr. 3.

Ankenævnets bemærkninger

Klageren har gjort indsigelse mod en transaktion på 3.900 kr. til en betalingsmodtager F.

Om baggrunden for transaktionen har klageren oplyst, at hun og hendes ægtefælle ventede på en pakke, som hendes ægtefælle tidligere havde bestilt online og troede, at omkostningerne til F vedrørte denne pakke. Hun modtog en SMS og troede, at SMS’en vedrørte denne pakke. Efter hun havde klikket på linket i SMS’en, blev hun omstillet til nogle skærmbilleder, hvor hun kunne klikke på at spore pakken, og hvoraf det herefter fremgik, at hun skulle betale 39 kr. i manglende fragtgebyr. Inden hun godkendte betalingen, tjekkede hun firmaet. Da det eksisterede, godkendte hun herefter betaling af 39 kr. med NemID.  

Banken har oplyst, at den omtvistede betaling med klagerens betalingskort blev foretaget ved godkendelse i klagerens NemID-nøgleapp.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Klageren har anført, at hun ikke godkendte betalingen af 3.900 kr. til F.

Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.

Ankenævnet finder endvidere, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.

Efter lov om betalinger § 100, stk. 4, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Henrik Waaben, Inge Kramer og Mette Lindekvist Højsgaard – udtaler:

Vi lægger til grund, at klageren må have godkendt betalingen på 3.900 kr. i sin Nem- ID-nøgleapp.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i NemID-nøgleappen, hvor hun fik oplysninger om beløbet på 3.900 kr. og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Lisbeth Baastrup Burgaard og Finn Borgquist – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder ikke, at klageren har udvist groft uforsvarlig adfærd, idet det må forudsættes at klageren, såfremt klageren havde forudsætninger for at gennemskue svindlen, ikke ville have godkendt transaktionen.

Forbrugere har forskellige forudsætninger for at gennemskue svindel, og det må aldrig blive utrygt for den almindelige forbruger at anvende de betalingstjenester, der er udviklet og svære at komme uden om.

Hertil bemærkes, at begrebet "groft uforsvarlig adfærd" angiver, at grov uagtsomhed i almindelig forstand ikke er tilstrækkelig til at pådrage betaleren hæftelse efter bestemmelsen.

Idet der er tale om en væsentlig skærpelse af ansvarsbetingelsen i forhold til begrebet "grov uagtsomhed", som normalt anvendes som en betegnelse for "tilsidesættelse af den agtpågivenhed, som selv skødesløse personer plejer at udvise", må der forudsættes en udvidet beskyttelsen af forbrugeren, og dermed at der pålægges et udvidet ansvar hos udbyderen af betalingsløsningen.  

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, og der er ikke belæg for at lægge til grund, at der i sager med phishing, hvor forbrugeren oplever, at beløbet ændrer sig, efter transaktionen er godkendt, ikke er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, hvor beløbet først ændres efter transaktionen er godkendt.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugeren anvender, gør transaktionen tilstrækkeligt tydelig, herunder at udformningen af den tekst forbrugeren godkender, fremgår tydeligt. 

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr. af tabet på 3.900 kr., jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at Spar Nord Bank skal betale 3.900 kr. til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.