Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagsnummer:17/2020
Dato:19-08-2020
Ankenævn:Vibeke Rønne, Inge Kramer, George Wenning, Morten Bruun Pedersen og Poul Erik Jensen
Klageemne:Betalingstjenester - ubegrænset hæftelse
Betalingstjenester - ikke groft uforsvarlig adfærd
Betalingstjenester - groft uforsvarlig adfærd
Ledetekst:Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.
Indklagede:Jyske Bank og SEB Kort Bank
Øvrige oplysninger:OF
Senere dom:
Pengeinstitutter

Indledning

Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagens omstændigheder

Klageren er kunde i Jyske Bank, hvor han har et Mastercard, der er udstedt af SEB Kort Bank Danmark.

Den 11. december 2019 modtog klageren en falsk mail, der fremstod som om, den kom fra flyselskabet F. Af mailen fremgik:

Du har modtaget en kupon med to billetter …

Vores specielle jubilæumskuponer er tilgængelige til download i 48 timer og kun for nogle kunder.
Du betaler kun 80 DKK, og senere kan du bruge din nye kupon til at bestille to flybilletter til verden! 

>> Klik på dette link for at fortsætte

Du modtager denne e-mail fordi du har godkendt vores vilkår og betingelser.

…”

Klageren klikkede på linket i mailen med henblik på at betale 80 danske kroner (DKK). I forbindelse med betalingen modtog klageren en SMS med en kode, som han anvendte.

SEB Kort Bank har oplyst, at teksten i SMS-beskeden var følgende:

”Din engangskode for køb hos [A] på SEK 25.790,00 er […]. Den er gyldig i 10 minutter.”

Der blev foretaget en transaktion med kortet på 25.790 svenske kroner (SEK), hvilket svarede til 18.843,10 DKK.

SEB Kort Bank har oplyst, at transaktionen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Banken har videre oplyst, at betalingsmodtageren, A, er en virksomhed, der tilbyder direkte betalinger, mulighed for at betale efter levering og afbetalingssystemer.

Klageren gjorde indsigelse mod transaktionen. Indsigelsen blev afvist af SEB Kort Bank.

Den 13. januar 2020 indgav klageren en klage over Jyske Bank til Ankenævnet. Jyske Bank nedlagde påstand om afvisning.

Klageren udvidede herefter klagen til også at omfatte SEB Kort Bank.

Parternes påstande

Den 13. januar 2020 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank og/eller SEB Kort Bank skal godtgøre ham transaktionen på 25.790 SEK/18.843,10 DKK.

Jyske Bank har nedlagt påstand om afvisning.

SEB Kort Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han ikke bør hæfte for transaktionen.

Der var tale om svindel via en falsk hjemmeside. Hjemmesiden så ægte ud. Man kunne betale 80 kr. for at reservere to flybilletter. Der var tale om et jubilæumstilbud til F’s gode kunder.

Han fik en kode til autorisation af betaling af de 80 kr. Koden kom som en sms, som han kunne læse direkte på telefonen – uden at skulle åbne den. Det vil sige, at han kun fik koden – ikke en information om at det er falsk beløb eller anden leverandør. Først cirka to minutter senere opdagede han, at beløbet ikke var 80 kr., men 25.790 SEK. Han ringede omgående og fortalte, at kortet skulle spærres, og at købet ikke skulle gennemføres.

Selvom kortet således blev spærret straks efter anvendelsen af koden, valgte banken alligevel at overføre pengene fra hans konto til svindlerne. Banken burde have stoppet overførslen.

Betalingsmodtageren A, som er et stort firma, havde tilsyneladende svindlere som kunder. Banken burde derfor straks have informeret A med henblik på at stoppe transaktionen. Ved at undlade dette har banken påført sig erstatningsansvar over for ham.

Han har ikke modtaget nogen ydelse i forbindelse med transaktionen. På baggrund af hans indsigelse er det leverandørens pligt at bevise, at han har købt en ydelse.

Jyske Bank har anført, at banken ikke er rette indklagede i sagen.

Klagerens Mastercard er ikke udstedt af banken. Der er alene tale om, at klagerens månedlige forbrug på kortet trækkes på klagerens konto i Jyske Bank.

Banken har ikke adgang til detaljerede oplysninger om den omhandlede transaktion, og banken kan ikke behandle indsigelsessagen.

SEB Kort Bank Danmark har anført, at transaktionen var en autoriseret betaling med anvendelse af en personlig sikkerhedsforanstaltning til kortet i form af den tilsendte SMS-kode. Klageren har erkendt, at han i forbindelse med transaktionen selv anvendte sine betalingsoplysninger og ligeledes indtastede koden.

Transaktionen kunne ikke stoppes eller tilbagekaldes, jævnfør betalingslovens § 111, stk. 1, hvoraf det fremgår, at en betalingsordre ikke kan tilbagekaldes, efter den er modtaget af betalerens udbyder.

Det må antages, at klageren har været udsat for tredjemandsmisbrug af sit kort i form af phishing. Klageren videregav alle kortoplysninger, herunder den tilsendte SMS-kode, under omstændigheder, hvor han indså eller burde have indset, at der var risiko for misbrug. Klageren hæfter derfor for det fulde beløb, jævnfør betalingslovens § 100, stk. 5.

Der er set mange eksempler på disse typer af svindel (”phishing”) og den konkrete e-mail om køb af en voucher til 80 kr. har været tilbagevendende gennem flere år, hvorfor der også har været stor mediedækning i forhold hertil med offentlige eksplicitte advarsler om ikke at udlevere sine kort- og sikkerhedsoplysninger. Derfor burde klageren have indset, at videregivelse af sine betalingsoplysninger, herunder den personlige sikkerhedsforanstaltning, hvoraf det eksplicit fremgik, at der var tale om et andet beløb og en anden modtager end forventet, ville medføre et misbrug, som det skete.

Derudover burde klageren have indset – også henset til mediedækningen af tilsvarende sager – at tilbuddet var for godt til at være sandt, og at han derfor skulle udvise øget agtpågivenhed i forhold til videregivelse af sine betalingsoplysninger.

Det må som minimum kunne forventes, at betaler læser den modtagne SMS-besked inden anvendelse af koden. Hvis det tillades en betaler blot at ignorere det øvrige indhold af SMS-beskeden, giver systemet med denne ekstra sikkerhedsforanstaltning, som netop har til formål at beskytte betalere, ikke meget mening. Hvis betaler undlader at læse SMS-beskeden og dermed ikke udviser tilstrækkelig agtpågivenhed i den forbindelse virker det meningsløst at være tilmeldt 3D Secure løsningen eller tilsvarende løsninger, der tjener til at øge sikkerheden.

Det af klageren anførte om, at han kun kunne aflæse koden på skærmen, uden at åbne SMS-beskeden, bestrides. Ved eventuel aflæsning på ”låst skærm” fremgik oplysningerne om betalingsmodtager og beløbets størrelse før oplysningen om koden. Selvom klageren således blev oplyst om, hvem der skulle modtage beløbet og beløbets størrelse, valgte han alligevel at anvende koden og muliggjorde herved misbruget ved ikke at udvise tilstrækkelig agtpågivenhed.

Klageren bør i hver fald hæfte for 8.000 kr. af transaktionen, jf. betalingslovens § 100, stk. 4.

Ankenævnets bemærkninger

Klageren var kunde i Jyske Bank, hvor han havde et Mastercard, der var udstedt af SEB Kort Bank Danmark.

Den 11. december 2019 modtog klageren en mail, der fremstod som om, den kom fra et flyselskab, F. Klageren klikkede på et link i mailen med henblik på at betale 80 danske kroner (DKK) for en kupon, der ifølge mailen kunne anvendes til køb af to flybilletter. Ved betalingen anvendte han en engangskode, som han modtog pr. SMS.

Der blev foretaget en transaktion med kortet på 25.790 svenske kroner (SEK), svarende til 18.843,10 DKK. Ankenævnet lægger som anført af SEB Kort Bank til grund, at transaktionen blev gennemført ved anvendelse af en personlig sikkerhedsforanstaltning til kortet i form af en engangskode, der blev sendt pr. SMS til klagerens telefonnummer, og som klageren anvendte.

Det lægges til grund, at transaktionen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at beta-leren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betale-ren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands misbrug/ube­rettigede anvendelse af klagerens Mastercard.

Ankenævnet finder, at det som anført af SEB Kort Bank må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen.

Ankenævnet finder ikke, at betalingslovens § 112, stk. 1 nr. 2, om manglende levering ved fjernsalg finder anvendelse i nærværende sag, hvor der er tale om misbrug af klagerens kort. Der er ikke tale om, at klageren har købt en vare eller ydelse hos hverken F eller A.

Det må lægges til grund, at klageren anvendte den engangskode, som var sendt på sms til klagerens telefon uden at læse oplysningerne i SMS-beskeden om transaktionens størrelse og beløbsmodtageren. 

Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.

Ankenævnet finder, at SEB Kort Bank har godtgjort, at betingelserne for, at klageren hæfter efter den udvidede ansvarsbestemmelse i betalingslovens § 100, stk. 5 er opfyldt. Ankenævnet har herved lagt vægt på sms-kodens indhold og opbygning samt på, at klageren ikke befandt sig i en presset situation svarende til f.eks. den situation, hvor phisning sker i forbindelse med telefonisk kontakt med en svindler. Klageren hæfter derfor uden beløbsbegrænsning for tabet og får ikke medhold i klagen over for SEB Kort Bank.

Klagerens Mastercard var ikke udstedt af Jyske Bank. Allerede derfor får klageren ikke medhold i, at Jyske Bank helt eller delvist skal godtgøre ham transaktionen med kortet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen over Jyske Bank og SEB Kort Bank.