Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod korttransaktion, der blev gennemført som en 3D Secure betaling ved godkendelse i NemID-nøgleapp.

Sagsnummer: 360/2022
Dato: 30-03-2023
Ankenævn: Vibeke Rønne, Inge Kramer, Mette Lindekvist Højsgaard, Tina Thygesen og Jørn Ravn.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod korttransaktion, der blev gennemført som en 3D Secure betaling ved godkendelse i NemID-nøgleapp.
Indklagede: Nordea Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod en korttransaktion, der blev gennemført som en 3D Secure betaling ved godkendelse i NemID-nøgleapp.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun havde en konto nr. -285 med et tilhørende Visa/Dankort.

Den 29. august 2022 blev klagerens kort anvendt til en betaling til en udenlandsk beløbsmodtager, A, på 10.413 kr., som klageren ikke kan vedkende sig.

Banken har oplyst, at betalingen med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i klagerens NemID-nøgleapp, og har fremlagt en udskrift fra Nets, hvoraf det fremgår, at følgende tekst blev sendt til klagerens NemID-nøgleapp:

Betal 10.413,00 DKK til WWW.[A].DK fra kort xx9215.”

Af hændelseslog for klagerens NemID fremgår det, at der den 29. august 2022 kl. 06:48 blev udstedt nøglenummer xxxx og kl. 06:49 sendt en notifikation til NemID-nøgleapp, serie nr. -809, og at transaktionen kl. 06:54 blev afbrudt på grund af manglende svar fra nøgleapp inden for tidsfristen. Det fremgår endvidere, at der den 29. august 2022 kl. 09:21 blev sendt en notifikation til NemID-nøgleapp, serie nr. -809 og accepteret en transaktion i NemID-nøgleapp, serie nr. -809 installeret på iOS, og at bruger blev autentificeret succesfuldt ifm. 2-faktor login eller signering. Ovenstående skete fra samme IP-adresse -173 og browser og styresystem med følgende oplysninger ”Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.0.0 Safari/537.36”.

Der er fremlagt en kontoudskrift vedrørende kontonummer -285, hvoraf det fremgår, at klagerens konto blev debiteret 10.413 kr. i forbindelse med et Visa køb med A.DK NACKA som beløbsmodtager.

Klageren har oplyst, at hun den 31. august 2022 opdagede, at der var hævet 10.413 kr. til et firma, som hun ikke kendte, og at hun omgående spærrede sit kort og anmeldte svindlen til politiet.

Den 31. august 2022 gjorde klageren indsigelse mod transaktionen på 10.413 kr. overfor banken. Klageren anførte, at hun opdagede et hævet beløb, som hun ingen kendskab havde til, og at kortet var lukket, ikke mistet. Banken bad den 1. september 2022 klageren fremsende yderligere oplysninger i form af serienummeret på hendes NemID-app og en hændelseslog for hendes NemID i perioden 20. juli 2022 til 31. august 2022. Klageren fremsendte den 2. september 2022 det efterspurgte materiale. Banken afviste den 5. september 2022 klagerens indsigelse, og skrev:

”Vi skriver, fordi vi nu har behandlet din indsigelse mod 10.413,00 kr.

Vi har undersøgt betalingen, som du gør indsigelse mod, og vi kan se, at den er godkendt ved brug af NemID. Det vil sige, at der i forbindelse med købet er indtastet dit NemID brugernavn samt din adgangskode, og herefter er købet bekræftet via NemID app, hvor både forretningsnavn og beløb fremgik med følgende tekst: Betal 10413,00 DKK til WWW.[A].DK fra kort xx9215

I denne sag er dine personlige sikkerhedsløsninger som NemID eller MitID brugt til verificering af transaktionen. I sådan en situation har du en selvrisiko på 8.000,00 kr.

Det betyder, at du selv hæfter for 8.000,00 kr., mens vi dækker 2.413,00 kr., som indsættes på din konto i dag.”

På klagerens anmodning undersøgte banken sagen på ny.

Banken har oplyst, at den til behandling af sagen indhentede yderligere information fra Nets. Banken har fremlagt en transaktionsliste fra Nets, hvoraf det fremgår, at der den 29. august 2022 kl. 09:21 blev foretaget en transaktion på 10.413 kr. ved brug af kortnummer -9215 via internettet med 3D Secure med clearingsdato den 30. august 2022 til A… DK NACKA.

Banken har oplyst, at betalingen blev korrekt registreret og bogført, og at den ikke var ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.

Klageren kontaktede den 31. august 2022 A og oplyste, at der samme dag var trukket 10.413 kr. på hendes konto uden, at hun havde købt noget, at hun ikke kendte til transaktionen, og at deres selskab stod som modtager af pengene.

Den 6. september 2022 besvarede A klagerens henvendelse. A skrev, at hvis hun var blevet udsat for bedrageri, måtte hun foretage en indsigelse hos sin bank, og at banken ville kontakte dem for information om købet. A oplyste, at A ikke kunne udlevere informationer til nogen ud over politiet eller banken, eller foretage annullering af booking eller tilbagebetaling, hvis begæringen herom ikke kom fra dem.

Den 8. september 2022 fastholdt banken sin afgørelse af 5. september 2022, og skrev til klageren:

”Det er derfor min vurdering, at der ikke er grundlag for at imødekomme dit krav om yderligere kompensation.

I min vurdering lægger jeg vægt på, at du godkendte transaktionen med NemID. Det fremgik klart af din NemIDapp, at du godkendte: "Betal 10413,00 DKK til WWW.[A].DK fra kort xx9215”. Når det er tilfældet, har Nordea ikke mulighed for at tilbagekalde transaktionen fra hverken kortselskab eller beløbsmodtager. Det er ikke korrekt, når selskabet skriver, at det er Nordea der vender tilbage til dem. Vi har jo ikke andre oplysninger end at købet er foretaget fra dit kort. Selskabet må kunne følge den pågældende transaktion i deres system.

I vedhæftningen kan du se et testeksempel på, hvordan godkendelsesbilledet i NemID-app’en ser ud.

Der er jo slet ingen tvivl om, at du er blevet snydt til at gennemføre en transaktion, du ikke ønskede at gennemføre. Jeg er sikker på, at du har været fanget ind i et set-up, hvor du har troet, at du har godkendt transaktioner i en anden sammenhæng og på et andet beløb. Der er dog heller ingen tvivl om, at godkendelsesbilledet viste ovennævnte.”

Den omtalte vedhæftning er ikke fremlagt.

Banken har fremlagt sine Regler for Dankort og Visa/Dankort, hvoraf det blandt andet fremgår:

”…10.2. Hæftelse og selvrisiko

Regler for din hæftelse er fastlagt i Lov om betalinger.

Hvis dit kort er blevet misbrugt af en anden person og der i den forbindelse er anvendt en personlig sikkerhedsforanstaltning, kan du komme til at dække op til 375 kr. af det samlede tab.

Du skal dække tab op til 8.000 kr. i tilfælde af, at dit kort har været misbrugt af en anden person og der i den forbindelse er anvendt en personlig sikkerhedsforanstaltning, og

• du har undladt at underrette Nordea snarest muligt efter at have fået kendskab til, at kortet eller din mobiltelefon med wallet er bortkommet, eller at uberettigede har fået kendskab til den personlige sikkerhedsforanstaltning

• du med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at du indså eller burde have indset, at der var risiko for misbrug, eller

• du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.”

Parternes påstande

Den 12. september 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark, skal tilbageføre selvrisikoen på 8.000 kr. for den ikke-vedkendte transaktion.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at første gang hun fik kendskab til A var da hun den 31. august 2022 gik ind på sin mobilbank for at tjekke sin konto, som hun altid gør den sidste dag i måneden, hvor hun så, at der var trukket 10.413 kr.

Hun har ikke selv muliggjort den uberettigede anvendelse. Hun er ikke blevet præsenteret for følgende tekst til godkendelse: ”Betal 10.413 dkk til www.[A].DK fra kort xx9215.”. Hvis det var tilfældet, ville hun aldrig godkende noget, som hun ikke selv har initieret.

Hun har ikke erkendt at have godkendt betalingen, og 3D-secure er ikke sikker. Hun har ikke anvendt sin personlige sikkerhedsløsning og ej heller verificeret transaktionen.

På appen ”selvforsvar”, som er etableret af forbrugerstyrelsen, kunne man den 14. oktober 2022 læse en advarsel om netop A. Den omhandlede en snedigt opsat e-post fra Nets, som ikke var fra Nets.

På hendes anmodning har to af hinanden uafhængige IT-eksperter via hændelsesloggen fundet frem til, at IP-adressen -173 er hjemmehørende i Marokko, og at phishing sagtens kunne være foregået i det øjeblik, hun åbnede for sin PC eller bankens mobilapp.

Hun ønsker at henlede Ankenævnets opmærksomhed på, at der bruges en anden IP-adresse i loggen fra før tidsrummet 29. august 2022 til 31. august 2022. Når hun foretager sig noget i banken, er det altid fra hendes IPhone, hvilket ikke var tilfældet ved den pågældende transaktion.

Bankens skrift består af postulater.

Hun var for tre år siden udsat for noget lignende vedrørende et beløb på 14.000 kr., som blev verificeret af Nets, som banken dengang dækkede.

Nordea Danmark har anført, at betalingen blev gennemført ved brug af 3D-secure, og at betalingen blev accepteret ved brug af NemID-serienummeret -809, hvilket tilhører klageren.

Klageren har erkendt at have godkendt betalingen via NemID-nøgleapp. Klageren har i forbindelse med gennemførelsen af transaktionen på 10.413 kr. udfyldt feltet med NemID brugernavn og adgangskode, og da der var tale om en 3D-secure løsning, skulle klageren også godkende betalingen via NemID-nøgleapp, og heri fremgik både beløb og beløbsmodtager samt følgende tekst til godkendelse ”Betal 10.413 DKK til WWW.[A].DK fra kort xx9215.”.

Klageren har selv muliggjort den uberettigede anvendelse, da hun burde have reageret på ovenstående tekst.

Når klageren alligevel valgte at godkende betalingen i NemID-nøgleappen, så var selve godkendelsen groft uforsvarlig adfærd fra hendes side, og banken er på den baggrund berettiget til at tage selvrisiko på 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 3.

Den omtvistede betaling er korrekt registreret, bogført og i øvrigt ikke fejlbehæftet.

Ankenævnets bemærkninger

Klageren var kunde i Nordea Danmark, hvor hun havde en konto nr. -285 med et tilhørende Visa/Dankort.

Den 29. august 2022 blev klagerens betalingskort anvendt til en betaling til en udenlandsk beløbsmodtager, A, på 10.413 kr., som klageren ikke kan vedkende sig.

Nordea Bank har tilbageført 2.413 kr. til klagerens konto, svarende til det ikke-vedkendte beløb, fratrukket 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 3.

Banken har oplyst, at transaktionen med klagerens betalingskort blev foretaget ved brug af sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp, og at klageren via sin NemID-nøgleapp blev præsenteret for følgende tekst: ”Betal 10.413,00 DKK til WWW.[A].DK fra kort xx9215”, som hun godkendte.

Klageren har bestridt at have foretaget betalingen og godkendelsen af denne og har anført, at hun ikke har kendskab til A. Hun har endvidere anført, at den omstridte transaktion er foretaget fra en IP-adresse, som er hjemmehørende i Marokko.

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens NemID er en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. § 100, stk. 4, nr. 3.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Parterne er uenige om, hvorvidt klageren ved groft uforsvarlig adfærd har muliggjort transaktionen.

Ankenævnet finder, at en afklaring af sagens nærmere omstændigheder, herunder om klageren ved groft uforsvarlig adfærd muliggjorde transaktionen og dermed hæfter med 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 3, forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.