Indsigelse mod at hæfte for misbrug af betalingskort i forbin-delse med phishing.

Sagsnummer:428/2022
Dato:09-05-2023
Ankenævn:Henrik Waaben, Morten Winther Christensen, Jimmy Bak, Tina Thygesen og Anna Marie Schou Ringive.
Klageemne:Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for misbrug af betalingskort i forbin-delse med phishing.
Indklagede:Sydbank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører en indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagens omstændigheder

Klageren var kunde i Sydbank, hvor hun havde et Visa/Dankort. Kortet var tilknyttet en konto med klagerens personligt ejede enkeltmandsvirksomhed som kontohaver.

Den 26. september 2022 blev der debiteret en kortbetaling på 16.666,39 kr. på enkeltmandsvirksomhedens konto i banken, som klageren ikke kan vedkende sig. Klageren kendte ikke beløbsmodtageren, firmaet F.

Om baggrunden for transaktionen har klageren oplyst, at hun den 21. september 2022 modtog en e-mail, der så ud til komme fra Simply.com. Af e-mailen fremgik:

”DOMÆNE UDLØBET, E-MAIL & WEBSITE FUNGERER IKKE

Sidste chance! Gem dit domæne!

Desværre er dit domænenavn UDLØBET. Dit domæne vil blive SLETTET i henhold til registreringsdatabasens politikker og vil være tilgængeligt for alle at registrere.

For at forny dette domænenavn bedes du kontakte os hurtigst muligt, før en anden registrerer det.

                        Hurtig Fornyelse

Hvordan fornyes?

Du kan hurtigt og nemt forny ved at klikke på knappen ’Express Renew’ ovenfor. Du vil være i stand til at behandle betaling og sikre dit domæne med det samme via følgende betalingsmetoder:

  • Visa Credit Card
  • Mastercard Credit Card

…”

Klageren har oplyst, at hun benyttede linket i e-mailen samt sit Visa/Dankort. Hun indtastede kortoplysninger og fik vist beløbet 82,50 kr. Da hun nåde til Nets’ side, var beløbet 825,50 OMR (omansk rial), og betalingsmodtageren var firmaet F, hvorfor hun ikke swipede i NemID-nøgleappen.

Klageren kontaktede banken, der spærrede kortet.

Banken har anført, at klageren klikkede på linket i e-mailen og indtastede sine kortoplysninger, inklusive den trecifrede sikkerhedskode. Derefter indtastede klageren sit NemID-brugernavn og adgangskode. Banken har anført, at svindleren anvendte klagerens kortoplysninger til at oprette en betaling til firma F.

Banken har fremlagt et skærmprint fra sit system med følgende tekst, som klageren modtog i NemID-nøgleappen:

”Betal 829,500 OMR til [firma F] fra kort [-800]”

Banken har anført, at klageren godkendte betalingen.

Banken har fremlagt en nøgleapphistorik for klagerens NemID. Heraf fremgår, at nøgleappen havde serienummer -0733, og at den blev installeret og aktiveret den 12. januar 2022. Banken har oplyst, at nøgleappen løbende blev anvendt af klageren.

Af klagerens NemID-log fremgår tre hændelser kl. 19:47:22 den 21. september 2022:

”Transaktion blev accepteret i nøgleapp med serienummeret [-0733] installeret på IOS.

Ny hardware automatisk accepteret.

Bruger autentificeret succesfuldt ifm. 2-faktor login eller signering.”

Banken har oplyst, at klageren den 26. september 2022 indgav en indsigelse til banken, og at banken godtgjorde klageren 8.666,39 kr., hvorved klageren selv hæftede for 8.000 kr. 

Banken har oplyst, at klageren den 6. oktober 2022 rettede henvendelse til bankens klageansvarlige.

Ved brev af 11. oktober 2022 til klageren fastholdt banken afgørelsen.

Klageren foretog politianmeldelse og anførte følgende om hændelsesforløbet:

”21.09.22 modtog jeg mail fra, hvad jeg troede var mit hostingfirma med et skyldigt beløb (hvilket var plausibelt, da vi netop har skiftet bank) Jeg trykkede på linket flere gange for at betale. Det lykkedes først om aftenen at komme til Nets siden, hvor beløbet pludselig går fra at være danske kroner 82,50 til omansk møntfod 825,50 og modtager er [firma F]. Vi godkender derfor ikke men ringer og får kortet spærret. Dette viser sig dog at være for sent, da der bliver trukket danske kroner 16666,39 på min konto 26.09.22.”

Parternes påstande

Den 18. oktober 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Sydbank skal betale 8.000 kr.

Sydbank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun og hendes mand troede, at e-mailen, hun modtog den 21. september 2022, var fra deres hostingfirma. De udviste ikke groft uforsvarlig adfærd og godkendte ikke betalingen. De swipede ikke, men afbrød straks forløbet, da svindlen blev synlig (det høje beløb blev synligt). Da beløbet 829,50 OMR og firma F figurerede på hendes telefon, forstod de, at der var noget galt. Derudover spærrede de efterfølgende straks kortet. De er to personer med samme opfattelse af forløbet.

Da de ringede til banken og fik kortet spærret, fortalte medarbejderen, at de havde været heldige, da der ikke var sket noget på deres konto. Derfor blev de overraskede, da der den 26. september 2022 blev trukket 16.666,39 kr. på kontoen.

Banken burde have gjort noget for, at pengene ikke blev hævet. På kontoudskriften ser det ud til, at beløbet blev reserveret den 22. september 2022, det vil sige efter de havde spærret kortet.

Af NemID-loggen fremgår ”Ny hardware automatisk accepteret”. Hun benytter altid Chromebook og godkender på sin iPhone. Det vil sige, at det er nøjagtig samme kombination af hardware og software som ved tidligere transaktioner. Hun har hverken skiftet browser, styresystem, telefon eller Chromebook i perioden.

Sydbank har anført, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

På baggrund af sagens tekniske data kan det konkluderes, at betalingen blev godkendt i klagerens NemID-nøgleapp. Dette underbygges delvist af klagerens forklaring ”Da vi når til Nets side er beløbet nu OMR 825,50 og betalingsmodtager [firma F]”.

Det er ikke muligt for en svindler at godkende transaktioner i klagerens NemID-nøgleapp, medmindre svindleren er i besiddelse af klagerens enhed, hvor nøgleappen er installeret. Det er derfor bankens opfattelse, at klageren ”kom til” at godkende betalingen. Havde klageren ikke godkendt betalingen, var den ikke blevet gennemført.

Når en handling godkendes i en NemID-nøgleapp, registrerer Nets A/S en række oplysninger om hvilken hardware og software, der bliver anvendt. Første gang Nets A/S registrerer en given kombination af hardware og software, registreres dette som ”Ny hardware automatisk accepteret”. Hvis man for eksempel skifter browser på den samme enhed, vil det udløse en ”Ny hardware automatisk accepteret” registrering. En opdatering af software kan være nok til, at der bliver registreret ”Ny hardware automatisk accepteret” i forbindelse med en handling i appen.

Som det fremgår af NemID-loggen, blev transaktionen accepteret i en nøgleapp med serienummeret -0733 installeret på iOS (Apple styresystem). Nøgleappen er således installeret på en iPhone eller iPad. Nøgleappen med serienummeret -0733 anvendes løbende af klageren. Hver enkelt nøgleapp har et unikt serienummer, og klageren har kun én nøgleapp. Hvis svindleren havde installeret en nøgleapp på en ny enhed, så ville den nye nøgleapp have fremgået af nøgleapphistorikken.

Da både beløb og beløbsmodtager fremgik klart og tydeligt af den tekst, klageren modtog i sin NemID-nøgleapp, burde klageren have indset, at der var tale om svindel. Klageren kontaktede også banken umiddelbart efter godkendelsen.

Selvom betalingen først fremgår af klagerens kontoudtog den 26. september 2022, blev betalingen gennemført umiddelbart efter, at den blev godkendt i klagerens
NemID-nøgleapp. Betalingen var således gennemført, da klageren kontaktede banken. Det var ikke muligt for banken at standse eller afvise betalingen.

Da betalingen blev godkendt med klagerens NemID nøgleapp, er kravet om anvendelse af stærk kundeautentifikation i betalingslovens § 128 opfyldt.

Betalingen blev korrekt registreret og bogført, og den var ikke ramt af tekniske svigt eller fejl, jf. betalingslovens § 98, stk. 1.

Ankenævnets bemærkninger

Klageren var kunde i Sydbank, hvor hun havde et Visa/Dankort. Kortet var tilknyttet en konto med klagerens personligt ejede enkeltmandsvirksomhed som kontohaver.

Den 21. september 2022 blev Visa/Dankortet anvendt til en betaling til en betalingsmodtager, firmaet F, på 825,50 OMR (16.666,39 kr.), som klageren ikke kan vedkende sig.

Om baggrunden for transaktionen har klageren oplyst, at hun den 21. september 2022 modtog en e-mail, der fremstod som værende fra hendes hjemmesideudbyder, hvori hun blev rykket for betaling for sin hjemmeside. Hun benyttede linket i e-mailen samt sit Visa/Dankort. Hun indtastede kortoplysninger og fik vist beløbet 82,50 kr. Da hun nåde til Nets’ side, var beløbet 825,50 OMR, og betalingsmodtageren var firmaet F, hvorfor hun ikke swipede i NemID-nøgleappen.

Klageren gjorde indsigelse mod transaktionen over for banken, der godtgjorde hende 8.666,39 kr., svarende til det betalte beløb fratrukket 8.000 kr.

Banken har oplyst, at den omtvistede betaling med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet finder, at det som anført af banken må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Henrik Waaben, Morten Winther Christensen og Jimmy Bak – udtaler:

Vi lægger til grund, at klageren må have godkendt betalingen på 825,50 OMR i sin NemID-nøgleapp.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i NemID-nøgleappen, hvor hun fik oplysninger om beløbet på 825,50 OMR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Tina Thygesen og Anna Marie Schou Ringive – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr., jf.  betalingslovens § 100, stk. 3.  

Vi stemmer derfor for, at banken skal tilbageføre 7.625 kr. til klageren.  

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.