Indsigelse mod hæftelse for 8.000 DKK af korttransaktion i forbindelse med modtagelse af phishingmail.

Sagsnummer:526/2023
Dato:31-05-2024
Ankenævn:Bo Østergaard, Morten Winther Christensen, Klaus Tougaard Kristensen, Morten Bruun Pedersen og Kim Korup Eriksen.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod hæftelse for 8.000 DKK af korttransaktion i forbindelse med modtagelse af phishingmail.
Indklagede:Jyske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod hæftelse for 8.000 DKK af korttransaktion i forbindelse med modtagelse af phishingmail.

Sagens omstændigheder

Klageren var kunde i Jyske Bank, hvor han havde et Visa/Dankort -1447.  

Den 1. juli 2023 kl. 10:24 blev der foretaget en kortbetaling på 1.210,08 GBP svarende til 10.612,71 DKK med klagerens kort til en betalingsmodtager, B, som klageren ikke kan vedkende sig.

Klageren har oplyst, at baggrunden for betalingen var, at han den samme dag havde modtaget en e-mail, der fremstod som værende fra one.com med oplysning om en opkrævning på 138 DKK for en sikkerhedsopdatering. Han havde brugt one.com i mere end ti år både privat og erhvervsmæssigt, hvorfor han ikke fandt opkrævningen for en ekstra sikkerhedsopdatering usædvanlig. Som følge heraf aktiverede han linket i den pågældende e-mail og bekræftede betalingen på 138 DKK ved hjælp af MitID og ansigtsgenkendelse.

Klageren har endvidere oplyst, at han ikke modtog en kvittering for godkendelsen ved første forsøg. Derfor forsøgte han igen at benytte det samme link, som han havde modtaget fra one.com. Godkendelsen blev ikke gennemført på dette tidspunkt, hvorfor han derefter valgte at forsøge at foretage betalingen med et andet betalingskort hos en anden kortudbyder, hvor han heller ingen kvittering fik. Han observerede ikke på noget tidspunkt i løbet af betalingsprocessen, at beløbet på 138 DKK blev ændret til 1.210,08 GBP.

Banken har oplyst, at betalingen blev foretaget ved godkendelse i klagerens MitID-app nr. -6613, der var installeret på klagerens telefon den 15. februar 2023. Banken har fremlagt en udskrift fra Nets’ af teksten, der blev sendt til klagerens MitID-app i forbindelse med godkendelsen af betalingen. Af teksten fremgik:

”Betal 1210,08 GBP til [B] fra kort xx1447”

Banken har oplyst, at transaktionen var korrekt registreret og bogført og ikke ramt af tekniske svigt og andre fejl.

Klageren har anført, at betalingen kl. 10:24 ikke gik glat igennem. Han kontaktede banken og den anden kortudbyder kl. 10:43 og 10:58 for at høre om beløbet var trukket på fra hans konto eller om der var andre betalinger undervejs. I begge tilfælde kunne misbrug af kort ikke konstateres. Banken fandt det ikke nødvendigt at spærre hans Visa/Dankort, men det gjorde den anden kortudbyder. Den 4. juli 2023 bemærkede han, at der var blevet foretaget en transaktion på 10.612,71 DKK fra hans konto, hvorfor han straks fik sit kort og MitID spærret.

Den 5. juli 2023 gjorde klageren indsigelse mod betalingen overfor banken, og banken godtgjorde hans tab fratrukket 8.000 DKK svarende til 2.612,71 DKK.

Klageren har fremlagt en udskrift af sin MitID-log for perioden mellem den 1. juli 2023 og 2. juli 2023.

Parternes påstande

Den 30. august 2023 har klageren indbragt sagen for Ankenævnet, der har forstået klagerens påstand således, at Jyske Bank skal tilbageføre de resterende 8.000 DKK til ham.

Jyske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har blandt andet anført, at han var udsat for kriminel phishing, da han modtog en e-mail fra, hvad han troede var fra one.com, hvor der stod, at han skulle betale 138 DKK til en sikkerhedsopdatering via sit betalingskort på mobilbanken fra Jyske Banks app. På baggrund af hans brug af one.com i mere end ti år troede han ikke, at der var tale om en usædvanlig opkrævning og lavede derfor ikke et sikkerhedstjek på afsenderens e-mailadresse.

Han aktiverede linket med sit betalingskort nr. -1447 via mobilbanken på Jyske Banks app den 1. juli 2023 kl. 10.24. Han godkendte betalingen ved at benytte ansigtsgenkendelsen i MitID. I forbindelse med betalingen modtog han ikke en kvittering, hvorfor han yderligere to gange forsøgte at betale via MitID og et andet betalingskort. Det fremgår af hans MitID-log, at han den 1. juli gentagne gange forsøgte at godkende betalingen, da han ikke fik en normal godkendelse i MitID-app. Han undrede sig efterfølgende over forløbet og undersøgte e-mailadressen, og blev som følge af e-mailadressens navn klar over, at han var blevet udsat for phishing.

Han blev ikke præsenteret for teksten ”betal 1210,08 GBP til [B] fra kort xx1447”. Med hans fyrre års erfaring inden for IT og online websystemer ville han have opdaget en fremmed modtager og valuta, og ville ikke have godkendt betalingen.

Han har handlet i god tro og ikke udvist groft uansvarlig adfærd under hele betalingsprocessen.

Han kontaktede banken den 1. juli 2023 kl. 10.43 for at høre, om pengene var blevet trukket eller om der var andre betalinger undervejs. Banken fandt det ikke nødvendigt at spærre hans betalingskort.

Den 4. juli 2023 bemærkede han, at pengene var blevet trukket fra hans konto, og fik i den forbindelse spærret sit betalingskort. Han har efterfølgende politianmeldt episoden.

Enhver erfaren programmør kan bekræfte, at det er teknisk muligt at ændre en tekst i en digital transaktion, før den vises i et browser-vindue på en laptop, iPad eller telefon gennem en smart "Landing Page". Banken burde implementere sikkerhedsprocedurer, der forhindrer brugen af falske "Landing Pages". Yderligere bør der implementeres en tidsbegrænsning, således at en betaling afbrydes, hvis et bestemt tidsinterval overskrides, som en yderligere sikkerhedsforanstaltning.

Afgørelser fra Ankenævnet synes at mangle en grundlæggende teknisk forståelse for den kriminelle praksis inden for phishing, som indebærer brugen af avancerede programmeringsmetoder, herunder indbyggede Landing Page og scripts til ændring af den visuelle præsentation i betalerens betalingsvindue. Det er ikke forsvarligt eller professionelt at godtage, uden en teknisk undersøgelse, at den interne betalingsautentifikation fra Nets til bankernes it-systemer er fejlfri og korrekt, især når slutbrugeren ikke har adgang til det.

Jyske Bank burde have tilbageført betalingen i overensstemmelse med den gældende lovgivning om onlinekøb, som normalt sikrer, at hvis den aftalte modydelse ikke er blevet modtaget for den pågældende tjeneste, så kan betalingen tilbageføres.

Han havde ændret et tidligere bevilget overtræk på 30.000 DKK til at være uden overtræk. Han blev overrasket over, at der alligevel var et overtræk på mere end 8.000 DKK, som han blev anmodet om at dække. Banken havde hverken afvist eller sendt en SMS-besked med accept til ham.

Jyske Bank har til støtte for frifindelsespåstanden anført, at klageren selv havde fulgt et link i en falsk e-mail, der angav at stamme fra one.com, hvori han fik oplyst, at han skulle betale en ekstraopkrævning på 138 DKK for en sikkerhedsopdatering, og at han i den forbindelse indtastede sine kortoplysninger og som følge heraf godkendte den.

Klageren har oplyst, at han selv godkendte betalingen med sit MitID-app. Betalingen blev godkendt med stærk kundeautentifikation.

Banken har været i kontakt med Nets, som bekræftede, at der i klagerens MitID-app blev forevist beløbet 1.210,08 GBP, ligesom Nets oplyser, at Nets ikke er bekendt med nogen metode til at manipulere disse tekster. 

Betalingen blev godkendt via klagerens MitID-app, hvori det klart og tydeligt fremgik, hvem betalingsmodtageren var, og at beløbet var 138 DKK.

Betalingstransaktionen er godkendt med klagerens Visa/Dankort. Et Visa/Dankort har ikke dækningskontrol, hvorfor det er muligt at overtrække sin konto ved gennemførsel af betalinger med kortet, hvilket skete ved den konkrete betaling.

Jyske Bank har til støtte for afvisningspåstanden anført, at klageren ikke har fremlagt e-mailen, der angiveligt skulle være fra one.com. Banken er i den forbindelse ikke i stand til at verificere klagerens oplysninger, herunder indholdet af e-mailen. Der er en betydelig usikkerhed om, hvad der faktisk er sket i sagen, herunder hvilke betalingsoplysninger klageren har fået præsenteret i betalingsforløbet. En vurdering af sagen vil kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Den 1. juli 2023 blev der foretaget en kortbetaling på 1.210,08 GBP svarende til 10.612,71 DKK med klagerens betalingskort til en udenlandsk betalingsmodtager, som klageren ikke kan vedkende sig. Den omtvistede betaling med klagerens kort blev godkendt i MitID-app.

Klageren har oplyst, at baggrunden for betalingen var, at han havde modtaget en e-mail med et link, der fremstod som værende fra one.com til en ekstraopkrævning på 138 DKK for en sikkerhedsopdatering. Han trykkede på linket og udfyldte sine kortoplysninger. Klageren har anført, at han ikke er blevet præsenteret for en anden modtager eller valuta.

Banken har anført, at klageren selv godkendte betalingen i sin MItID-app, hvor beløb, beløbsmodtager og valuta fremgik ved godkendelsen.

Banken har dækket klagerens tab med fradrag af 8.000 DKK.

Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter den var godkendt, uanset tidspunkt for den efterfølgende spærring af kortet og debitering af beløbet på klagerens konto.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Bo Østergaard, Morten Winther Christensen og Klaus Tougaard Kristensen – udtaler:

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 1.210,08 GBP i sin MitID-app.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID-appen, hvor han fik oplysninger om beløbet på 1.210,08 GBP og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi finder heller ikke, at banken på andet grundlag er forpligtet til at godtgøre klageren de resterende 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Kim Korup Eriksen – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbrugere at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren 375 DKK, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klagen.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i sagen.