| Sagsnummer: | 494/2022 |
| Dato: | 13-10-2023 |
| Ankenævn: | Bo Østergaard, Christina Bryanth Konge, Jimmy Bak, Jacob Ruben Hansen og Anna Marie Schou Ringive |
| Klageemne: | Betalingstjenester - spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod netbank- og korttransaktioner foretaget i forbindelse med phishing og telefonisk henvendelse fra en person, der udgav sig for at være ansat i andelskassen |
| Indklagede: | Merkur Andelskasse |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod netbank- og korttransaktioner foretaget i forbindelse med phishing og telefonisk henvendelse fra en person, der udgav sig for at være fra andelskassen.
Sagens omstændigheder
Klageren var kunde i Merkur Andelskasse, hvor han blandt andet havde et betalingskort -414, en lønkonto -847 samt adgang til netbank.
Klageren har oplyst, at han lørdag den 20. august 2022 modtog en SMS-besked fra Mobilepay, der anmodede ham om at verificere sine oplysninger. Klageren påbegyndte dette, men stoppede undervejs uden at færdiggøre verificeringen. Tirsdag den 23. august 2022 blev klageren telefonisk kontaktet af en person T, der udgav sig for at være ansat i andelskassen. Person T ringede fra et nummer, der fremstod som at tilhøre andelskassen. Person T meddelte klageren, at hans Mobilepay-oplysninger var blevet kompromitteret, at han var blevet udsat for svindel, og at svindlere havde overført beløb fra hans konto. Person T meddelte klageren, at andelskassen ville tilbageføre beløbene, men at andelskassen skulle bruge klagerens personlige oplysninger. Klageren skulle herudover godkende anmodninger, han modtog, med MitID for at sikre en sikker tilbageførsel af det angiveligt forsvundne indestående.
Den 23. august 2022 blev der foretaget tre kontooverførsler på i alt 55.500 kr. fra klagerens konto -847 til en konto -272 i pengeinstitut P. Herudover blev der foretaget to korttransaktioner på hver 7.551,63 kr. og 5.000 kr. med klagerens betalingskort -414 til selskab S og pengeinstitut P.
Andelskassen har fremlagt en SMS-log for klagerens telefonnummer, hvoraf fremgår, at der den 23. august 2022 i et tidsrum på ca. 11 minutter (fra kl. 18:47 til 18:58) blev sendt tre SMS’er til klagerens telefonnummer, og at han godkendte overførslerne.
Andelskassen har fremlagt en log fra dens datacentral og har oplyst, at det heraf fremgår, at der indenfor tidsrummet, hvor svindlen foregik, skete tre forsøg på login i klagerens netbank. To af forsøgene skete fra en dansk IP-adresse, som adskilte sig fra klagerens normale mønster, og ét af forsøgene skete fra en spansk IP-adresse.
Klageren har oplyst, at han den 23. august 2022 kl. 22:15 spærrede sit kort og apps.
Den 28. august 2022 gjorde klageren ved en tro og love-erklæring indsigelse mod korttransaktionerne på 7.551,63 kr. og 5.000 kr. Af denne fremgik blandt andet:
”…
Beskriv hvad der er sket:
…
ID tyveri. fik falsk besked fra mobilepay. Jeg blev ringet op af en person, der foregav at være fra min bank og manipulerede mig til at udlevere oplysninger.
…
Er du på noget tidspunkt blevet kontaktet og bedt om at bekræfte/oplyse dit betalingskort eller dine personlige oplysninger?
…
Ja, på telefon.
…”
Den 7. september 2022 gjorde klageren ved en anden tro og love-erklæring indsigelse mod netbankoverførslerne på hhv. 19.000 kr., 24.000 kr., og 12.500 kr.
Andelskassen har oplyst, at det er lykkedes den at standse to netbankoverførsler på hhv. 12.500 kr. og 24.000 kr., da disse overførsler blev parkeret i andelskassens fraud-system. Andelskassen kontaktede pengeinstitut P vedrørende den sidste netbankoverførsel på 19.000 kr., men denne overførsel var allerede hævet fra modtagerkontoen i pengeinstitut P. Andelskassen har oplyst, at tabet i forbindelse med de fem transaktioner herefter udgjorde i alt 31.551,63 kr.
Andelskassen tilbageførte 23.551,63 kr. til klageren svarende til tabet fratrukket 8.000 kr., da klageren havde udvist groft uforsvarlig adfærd ved at udlevere sine betalingsoplysninger til en ukendt tredjemand.
Parternes påstande
Den 25. november 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Merkur Andelskasse skal godtgøre ham hele tabet og dermed tilbagebetale 8.000 kr.
Merkur Andelskasse har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at det er andelskassens ansvar, at svindlere stjæler dens identitet og derigennem franarrer andelskassens kunder deres personlige oplysninger, kontonumre, m.v. for derved at stjæle store beløb fra samme kunder.
Andelskassen har ikke informeret dens kunder om det identitetstyveri, andelskassen er blevet udsat for. Han var nødsaget til at orientere sin rådgiver i andelskassen om dette.
Da han har handlet i god tro, må ansvaret ligge hos andelskassen.
Merkur Andelskasse har anført, at alle relevante procedurer har været fulgt fra andelskassens side.
Det er ikke teknisk muligt at forhindre svindlere i at lade opkaldsnummeret fremstå som andelskassens telefonnummer på modtagerens mobiltelefon. Andelskassen kan derfor ikke af denne grund være ansvarlig for hændelsen.
Klageren har selv medvirket til at oprette tre kontooverførsler i netbank og godkendt disse med to-faktor godkendelse, herunder godkendelse med MitID og SMS-bekræftelse. Klagerens adfærd, som er beskrevet af klageren selv, begrunder anvendelsen af en selvrisiko på 8.000 kr.
Andelskassen har efter svindlen rådgivet klageren korrekt og har også anbefalet klageren at benytte app’en ”Mit digitale selvforsvar”, som er gratis og udviklet af Forbrugerrådet TÆNK, Det kriminalpræventive Råd og Tryg Fonden.
Andelskassen advarer løbende sine kunder om forsøg på svindel. Dette sker via dens hjemmeside, sociale medier og netbank. Inden svindlen advarede den senest i juli 2022 om, at man skulle være opmærksom på forsøg på telefonsvindel.
Ankenævnets bemærkninger
Klageren har gjort indsigelse mod tre netbankoverførsler og to korttransaktioner på i alt 68.051,63 kr., hvoraf andelskassen har tilbageført i alt 60.051,63 kr. til klageren.
Om baggrunden for transaktionerne har klageren oplyst, at han den 20. august 2022 modtog en besked, der fremstod som værende fra Mobilepay, der anmodede ham om at verificere sine person- og betalingsoplysninger, hvilket klageren påbegyndte, men afbrød, da han fik mistanke om, at det kunne være svindel. Klageren har herudover oplyst, at han den 23. august 2022 blev kontaktet telefonisk af en person, der udgav sig for at være ansat i andelskassen, fra et telefonnummer, der fremstod at være fra andelskassen. Denne person meddelte ham, at hans Mobilepay-oplysninger var blevet kompromitteret, og at han var blevet udsat for svindel. Personen ville hjælpe ham med at få overførslerne tilbageført, hvis klageren gav ham yderligere oplysninger, og hvis klageren foretog godkendelser med MitID.
Andelskassen har oplyst, at de omtvistede overførsler og betalinger med klagerens betalingskort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse med klagerens MitID.
Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.
Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.
Ankenævnet finder endvidere, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.
Efter lov om betalinger § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).
Tre medlemmer – Bo Østergaard, Christina Bryanth Konge og Jimmy Bak – udtaler:
Vi finder det godtgjort, at klageren har godkendt netbankoverførslerne og kortbetalingerne i sin MitID-app og ved SMS.
Vi finder derfor, at andelskassen har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Jacob Ruben Hansen og Anna Marie Schou Ringive – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionerne.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at andelskassen har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at andelskassen er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at andelskassen skal tilbageføre 7.625 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.