Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagsnummer:539/2021
Dato:04-07-2022
Ankenævn: Henrik Waaben, Inge Kramer, Mette Lindekvist Højsgaard, Lisbeth Baastrup Burgaard og Finn Borgquist
Klageemne:Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - groft uforsvarlig adfærd
Ledetekst:Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.
Indklagede:Sydbank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagens omstændigheder

Klageren var kunde i Sydbank, hvor han havde en konto med et tilhørende betalingskort.

Den 12. september 2021 blev klagerens betalingskort anvendt til en betaling til en udenlandsk betalingsmodtager, F, på 9.742,87 norske kroner (NOK), som klageren ikke kunne vedkende sig. Klageren har oplyst, at der blev købt en flybillet via F.

Transaktionen blev efterfølgende bogført på klagerens konto med 7.197,25 kr.

Banken har oplyst, at betalingen med klagerens betalingskort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp. Følgende tekst blev sendt til klagerens NemId-nøgleapp:

”Betal 9742,87 NOK til [F] fra kort xx8319”

Af en fremlagt udskrift af hændelsesloggen for klagerens NemID fremgår, at en transaktion blev accepteret i klagerens NemID-nøgleapp den 12. september 2021 kl. 11:20. Der blev endvidere samme dag sendt flere andre transaktioner til klagerens NemID-nøgleapp, som ikke blev accepteret.

Da klageren blev opmærksom på betalingen, kontaktede han banken med det samme, og hans kort blev spærret, og han fik en ny kode til sit NemID.

Den 15. september 2021 gjorde klageren indsigelse mod transaktionen over for banken, der herefter stillede nogle uddybende spørgsmål til klageren. I en mail af 17. september 2021 til banken oplyste klageren følgende:

”Jeg har modtaget nedenstående mail i dagene op til transaktionen. Jeg har taget et skærmprint af de mistænksomme mail. (se nedenstående)

Jeg har klikket på mailen fra [G1 – udbyder af bredbånd, tv og mobil], men lukkede hurtigt mailen idet de ville have min konto oplysning.

Jeg har også klikket på linket fra [G2 – energiselskab], men lukkede også hurtigt denne mail idet de ville have en masse oplysninger fra mig blandt andet mine konto oplysninger.

Mailen fra [G3] har jeg ikke klikket på.

Jeg har ikke på noget tidspunkt modtaget noget ej heller godkendt noget via Nemid eller Nets.

Jeg er ikke blevet kontaktet via telefonen.

Min Facebook blev hacket mens jeg var på ferie i Norge, men jeg skiftede kode så snart jeg blev opmærksom på dette.

…”

Klageren vedlagde skærmprint af to mails fra G1, der vedrørte opdatering af kundens betalingsmetode, en mail fra G2, der vedrørte refusion af en faktura, der var betalt to gange, og en mail fra G3, der vedrørte tilbagebetaling af et tilgodehavende vedrørende booking af en færgeoverfart.

Banken afviste at tilbageføre den omtvistede betaling til klageren.

Banken har oplyst, at betalingen blev korrekt registreret og bogført, og at den ikke var ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.

Parternes påstande

Den 19. november 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Sydbank skal godtgøre ham transaktionen på 7.197,25 kr.

Sydbank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han var på ferie i Norge fra den 30. august 2021 til den 7. september 2021. Den 2. september 2021 blev hans Facebook hacket, idet hans Messenger sendte mærkelige beskeder til alle hans kontakter. Han skiftede koden til Facebook med det samme den 2. september 2021.

Han har alene åbnet to af de mistænkelige mails, som han modtog, men ikke klikket på links eller vedhæftede dokumenter, og han har ikke oplyst sine kontooplysninger til nogen hverken på skrift eller tale.

Han har ikke købt nogen flybillet hos F. Han har heller ikke godkendt betalingen i sin NemID-nøgleapp. Han har hverken modtaget SMS eller mail vedrørende købet.

Banken anfører, at hændelsesloggen for hans NemID ikke fortæller, hvor den enhed, der godkender fysisk, befinder sig. Dette bestrides, idet hændelsesloggen fortæller, hvilken IP-adresse godkendelsen kommer fra. Betalingen er godkendt fra en norsk IP-adresse. IP-adresser viser den geografiske lokation. Derfor er betalingen godkendt i nøgleappen på en norsk lokation, mens han var i Danmark.

Det var et mærkeligt sammentræf, at hans mobil blev hacket, mens han var i Norge, og at den omtvistede betaling blev foretaget via en norsk IP-adresse og i NOK, efter at han var kommet hjem fra Norge.

Der var 12 notifikationer på hans NemID-nøgleapp den pågældende dag, hvoraf de ni er fra den norske IP-adresse.

Hvis man prøver at bestille en flybillet på F’s hjemmeside, så kommer priserne frem i DKK, når man er logget ind fra en dansk IP-adresse. Dette beviser, at den omtvistede betaling af flybilletter købt i NOK er købt af en, som var logget på i Norge.

Banken anfører, at han har oplyst sine kontooplysninger, og at han derved har handlet groft uansvarligt, men banken fremkommer ikke med beviser for denne antagelse.

Alle de transaktioner/notifikationer, der var på hans NemID-nøgleapp den pågældende dag, tyder på et misbrug. Der var flere betalinger, som ikke blev gennemført og godkendt. Der var tale om meget ”trafik” på hans NemID-nøgleapp på meget kort tid.

Han er er uskyldig i dette svindelnummer, og banken har ikke behandlet ham korrekt, idet den bruger antagelser som bevis.

Sydbank har anført, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Klageren har oplyst, at han klikkede på et link i en phishingmail. Det er bankens opfattelse, at klageren indtastede sine kortoplysninger i den tro, at han var ved at betale et væsentligt mindre beløb. Da klageren sandsynligvis blev præsenteret for et andet beløb end det, han efterfølgende godkendte, bestrider banken ikke, at betalingen var uautoriseret.

Dette ændrer dog ikke ved, at klageren i NemID-nøgleappen blev præsenteret for det korrekte beløb på 9.742,87 NOK, som han godkendte.

Det bestrides, at hændelsloggen for NemID viser, fra hvilken IP-adresse godkendelsen kommer. Det fremgår ikke af hændelsesloggen for NemID, hvor den enhed (f.eks. telefon eller tablet), der godkender en transaktion via NemID, befinder sig. Uanset, at forretningen der anmoder om godkendelsen, befinder sig i Norge, kan betalingen blive godkendt i Danmark (eller ethvert andet sted). Hændelsesloggen for NemID dokumenterer derfor ikke, at betalingen blev godkendt af en NemID-nøgleapp på en enhed, der befandt sig i Norge.

Klageren befandt sig ikke i en presset situation svarende til f.eks. den situation, hvor misbruget sker i forbindelse med en telefonisk henvendelse.

Ud fra en samlet vurdering er det derfor bankens opfattelse, at klageren muliggjorde betalingen ved groft uforsvarlig adfærd, jf. betalingslovens § 100, stk. 4, nr. 3. Klageren hæfter derfor for 8.000 kr. af tabet. Da selvrisikoen overstiger klagerens tab på 7.197,25 kr., er banken ikke forpligtet til at godtgøre klageren.

Banken er heller ikke på andet grundlag erstatningsansvarlig over for klageren.

Ankenævnets bemærkninger

Den 12. september 2021 blev klagerens betalingskort anvendt til en betaling til en udenlandsk betalingsmodtager, F, på 9.742,87 NOK (7.197,25 kr.), som klageren ikke kan vedkende sig.

Klageren gjorde indsigelse mod transaktionen over for banken. Han oplyste, at han i dagene op til den omtvistede transaktion havde modtaget nogle phishing mails. Han havde alene åbnet to af de mistænkelige mails, som han modtog, men ikke klikket på links eller vedhæftede dokumenter, og han havde ikke oplyst sine kontooplysninger til nogen.

Banken har afvist at tilbageføre de 7.197,25 kr. til klageren.

Banken har oplyst, at den omtvistede betaling med klagerens betalingskort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Klageren har anført, at han ikke godkendte noget som helst, heller ikke transaktionen til F. Banken har anført, at klageren godkendte transaktionen i sin NemID-nøgleapp.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Henrik Waaben, Inge Kramer og Mette Lindekvist Højsgaard – udtaler:

Vi lægger til grund, at klageren må have godkendt betalingen på 9.742,87 NOK i sin Nem- ID-nøgleapp.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i NemID-nøgleappen, hvor han fik oplysninger om beløbet på 9.742,87 NOK og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Lisbeth Baastrup Burgaard og Finn Borgquist – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder ikke, at klageren har udvist groft uforsvarlig adfærd. Vi lægger til grund, at beløbet blev trukket fra klagerens konto trods klagerens manglende godkendelse. Der må derfor være tale om systemfejl. Banken har dermed ikke godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4 er opfyldt.

Vi stemmer derfor for, at klageren får medhold i klagen.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.