| Sagsnummer: | 476/2021 |
| Dato: | 15-02-2023 |
| Ankenævn: | Bo Østergaard, Jonas Thestrup Nielsen, Karin Duerlund, Tina Thygesen og Poul Erik Jensen |
| Klageemne: | Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing. |
| Indklagede: | SEB Kort Bank Danmark |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører en indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.
Sagens omstændigheder
Klageren var kunde i SEB Kort Bank Danmark, hvor han havde et betalingskort.
Den 4. september 2021 blev klagerens betalingskort anvendt til to betalinger á 7.112 NOK (5.279,87 DKK), i alt 10.558,87 DKK, til en norsk betalingsmodtager, F, som klageren ikke kunne vedkende sig.
Ved e-mail af 4. september 2021 havde klageren modtaget en advarsel, der så ud til at være fra Ørsted A/S. Af e-mailen fremgik:
”Emne: [Advarsel] Din sidste faktura blev betalt to gange
Hej
Vi informerer dig skriftligt om, at den sidste afvikling af din faktura for marts 2021 blev betalt 2 gange.
Merk: Hvis dette ikke er løst innen de neste 12 timene, vil ingen refusjon være tilgjengelig.
Vi inviterer dig til at anmode om en refusion ved at klikke på linket herunder.
https://orsted.com/kundeservice/
Med venlig hilsen
Ørsted A/S
Vores 6.500 medarbejdere forbinder 24 timer i døgnet virksomheder, myndigheder og privatpersoner i hele Danmark./em>
Denne e-mail er genereret automatisk og kan ikke besvares.”
Den 6. september 2021 indgav klageren indsigelse mod de to transaktioner á 7.112 NOK til banken. Af indsigelsesblanketten fremgik:
”Vedhæftet kommunikation/Attached correspondence:
Beløbet er fejlagtigt anført min konto to gange. Årsagen er, at jeg har benyttet mit nemid hvilket er en fejl, som skyldes en mail fra Ørsted, som er snyd”
Banken har oplyst, at transaktionerne blev foretaget med klagerens NemID. Banken har til støtte herfor fremlagt et udklip fra en transaktionsoversigt. Banken har endvidere oplyst, at den ikke kan oplyse, hvorvidt der ved gennemførslen af transaktionerne blev anvendt NemID-nøglekort eller NemID-nøgleapp.
Den 22. september 2022 oplyste banken klageren om, at den dækkede den del af beløbet, der oversteg 8.000 kr., idet misbruget var muliggjort af klagerens groft uforsvarlige adfærd.
Klageren klagede over bankens afvisning. Banken fastholdt afvisningen.
Parternes påstande
Den 19. oktober 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at SEB Kort Bank Danmark skal tilbageføre 8.000 kr.
SEB Kort Bank Danmark har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at bankens afvisning ikke kan accepteres, idet han ikke handlede i modstrid med reglerne for NemID.
Han handlede ikke groft uforsvarligt.
Den pågældende dag var han til sit barnebarns konfirmation. Da han kom hjem fra kirken, skulle han færdiggøre talen til konfirmanden. I den forbindelse så han e-mailen fra Ørsted A/S, hvorefter han indtastede sine kortoplysninger. Han kom først hjem ved midnat og foretog derfor i dette tidsrum ikke yderligere undersøgelser af e-mailen.
Han forventer, at banken tilbagefører det fulde beløb til hans konto.
SEB Kort Bank Danmark har anført, at der ikke kan herske tvivl om, at klageren var udsat for phishing, og at hensigten med fremsendelsen af e-mailen var at franarre klageren hans kortoplysninger med henblik på at misbruge dem.
Klageren har ikke nærmere forklaret, hvordan misbruget fandt sted. Det må antages, at klageren anvendte et link i den modtagne e-mail og herefter afgav sine kortoplysninger og efterfølgende godkendte to transaktioner på hver 7.112 NOK til F med sit NemID med henblik på at opnå refusion af det beløb, som klageren angiveligt ifølge e-mailen havde betalt for meget til Ørsted A/S.
Forud for gennemførslen af transaktionerne ved brug af NemID var det synligt for klageren, at beløbene androg 7.112 NOK, og at modtageren af betalingerne var F og ikke Ørsted A/S. På trods af dette valgte klageren at gennemføre begge transaktioner.
Det følger af betalingslovens § 82, at en transaktion kun er autoriseret, såfremt betaleren har meddelt samtykke til gennemførelse af transaktionen. Hvis der ikke er meddelt gyldigt samtykke til transaktionerne, skal disse betragtes som uautoriserede. Det må lægges ubestridt til grund, at klageren meddelte samtykke til de pågældende transaktioner, da klageren selv oplyste kortoplysningerne og anvendte sit NemID til gennemførelse af transaktionerne.
Af bemærkningerne til betalingslovens § 82 fremgår, at der gælder særlige regler, hvis der er tale om phishing. Det fremgår, at ”Er der tale om "phishing", hvor betaleren franarres NemID-koder pr. e-mail, telefon eller på en hjemmeside, antages det tilsvarende i Det Finansielle Ankenævns (tidligere Pengeinstitutankenævnets) praksis, at betalerens afgivelse af NemID-koderne ikke udgør et gyldigt samtykke til gennemførelse af en betalingstransaktion, uanset om en uberettiget tredjemand benytter oplysningerne, eller om betaleren selv har indtastet sine koder efter tredjemands anvisninger, jf. f.eks. afgørelsen nr. 207/2019 (betaleren oplyste sine NemID-koder pr. telefon til misbrugeren). Hæftelsesbestemmelserne i § 100 finder anvendelse, hvorefter udgangspunktet er, at betalerens udbyder skal bære tabet, jf. § 100, stk. 1. Da NemID-koder har karakter af en personlig sikkerhedsforanstaltning som defineret i § 7, nr. 31, kan betaleren under særlige omstændigheder hæfte (delvist) for tabet iht. § 100, stk. 3-5”.
Af den sidste sætning fremgår det, at betalingslovens § 100, stk. 3-5 om betalers hæftelse for uberettiget anvendelse finder anvendelse.
Transaktionerne var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.
Betingelserne for at gøre den fulde hæftelse gældende efter betalingslovens § 100, stk. 5, er ikke opfyldt, men klageren skal hæfte for op til 8.000 kr. af misbruget, jf. betalingslovens § 100, stk. 4, nr. 3. Det findes godtgjort, at den til betalingstjenesten hørende personlige sikkerhedsforanstaltning blev anvendt, og at klageren ved sin groft uforsvarlige adfærd muliggjorde den uberettigede anvendelse.
E-mailen, som klageren modtog, var sjusket formuleret, ligesom enkelte af ordene var på norsk. Desuden fremgik det klart, at afsenderadressen utvivlsomt ikke tilhørte Ørsted A/S. Det fremgik endvidere, at modtageren skulle reagere og søge refusion inden 12 timer, hvorefter modtageren ikke ville være berettiget til refusion. Dette kunne føles som et vist pres, men klageren fik tilstrækkeligt med til tid til at undersøge, for eksempel via sine kontoudtog, hvorvidt der var sket dobbelt betaling til Ørsted A/S. Selvom klageren fik 12 timer til at søge om refusion, gjorde han dette efter kort tid, cirka 30-40 minutter efter modtagelsen af e-mailen.
Det må have formodningen imod sig, at en velrenommeret virksomhed som Ørsted A/S udsendte en e-mail om en fejl, den angiveligt havde begået, og alene gav de berørte kunder 12 timer til at søge om refusion heraf.
Misbruget kunne være undgået med lidt agtpågivenhed og undersøgelser fra klagerens side. Der ville simpelt kunne foretages en undersøgelse i netbank, mobilbank eller kontrol af Betalingsservice-meddelelsen for marts.
Disse phishing-sager er efterhånden kendt i offentligheden. Der har været adskillige indlæg i nyhederne herom, hvilket peger i retning af, at klageren burde have forholdt sig mere kritisk til e-mails, end han gjorde.
Det er ikke muligt for banken at tilvejebringe oplysninger om, hvorvidt der ved gennemførslen af transaktionerne blev anvendt NemID-nøglekort eller NemID-nøgleapp. Indtil for nylig, var det muligt at anvende både NemID-nøglekort og NemID-nøgleapp. Det er derfor ikke muligt at svare entydigt på, hvorvidt der blev anvendt stærk kundeautentifikation ved transaktionerne i sagen. Dette har dog efter bankens opfattelse ikke betydning for sagen, da det ubestridt kan lægges til grund, at det var klageren selv, der autoriserede transaktionerne.
Ankenævnets bemærkninger
Klageren har gjort indsigelse mod to korttransaktioner á 7.112 NOK, svarende til i alt 10.558,87 DKK, foretaget den 4. september 2021 til en betalingsmodtager, F.
I sagen er fremlagt en udskrift af en e-mail sendt til klageren den 4. september 2021. E-mailen fremstod som værende fra Ørsted A/S og indeholdt et link. I e-mailen blev klageren oplyst om, at hans faktura for marts var blevet betalt to gange, og at han inden for 12 timer kunne anmode om at få beløbet refunderet via linket. Klageren har oplyst, at han indtastede sine kortoplysninger.
SEB Kort Bank Danmark har oplyst, at de omtvistede betalinger blev foretaget ved godkendelse med klagerens NemID.
Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31.
Tre medlemmer – Bo Østergaard, Tina Thygesen og Poul Erik Jensen – udtaler:
Vi finder efter det oplyste ikke grundlag for at fastslå, at der ved betalingerne blev anvendt stærk kundeautentifikation.
Når der ikke er brugt stærk kundeautentifikation, følger det af betalingslovens § 100, stk. 7, at klageren kun kan komme til at hæfte helt eller delvist for betalingerne, jf. betalingslovens § 100, stk. 3 - 5, hvis klageren har handlet svigagtigt, hvilket der efter sagens oplysninger ikke er grundlag for at antage.
Vi stemmer derfor for, at SEB Kort Bank Danmark skal tilbageføre 8.000 kr. til klageren.
To medlemmer - Jonas Thestrup Nielsen og Karin Duerlund – udtaler:
Banken har oplyst, at transaktionerne på 7.112 NOK/5.279,87 DKK blev gennemført ved, at klageren afgav sine kortoplysninger og efterfølgende godkendte transaktionerne med sit NemID. Det har ikke været muligt for banken at få oplyst, om godkendelsen skete med NemID-nøgleapp eller med NemID-nøglekort, idet banken har oplyst, at oplysningerne ikke længere er tilgængelige for banken. Klageren er blevet opfordret til at oplyse herom, men klageren har ikke svaret fyldestgørende herpå.
Henset til betydningen af om der blev anvendt stærk kundeautentifikation, finder vi, at der bør ske en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Vi stemmer derfor for, at klagen afvises.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
SEB Kort Bank Danmark skal inden 30 dage tilbageføre 8.000 kr. til klageren med valør fra den 4. september 2021.
Klageren får klagegebyret tilbage.