Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.
| Sagsnummer: | 7/2023 |
| Dato: | 23-06-2023 |
| Ankenævn: | Henrik Waaben, Kritte Sand Nielsen, Jimmy Bak, Tina Thygesen og Kim Korup Eriksen. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing. |
| Indklagede: | Danske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører en indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.
Sagens omstændigheder
Klageren var kunde i Danske Bank, hvor han havde et Visa/Dankort (-768).
Den 22. december 2022 blev der debiteret en kortbetaling på 889,98 EUR svarende til 6.621,97 DKK på klagerens konto i banken, som klageren ikke kan vedkende sig. Klageren kendte ikke beløbsmodtageren, der var et udenlandsk firma F.
Om baggrunden for transaktionen har klageren oplyst, at han modtog en e-mail, der så ud til at komme fra Spotify. Af e-mailen fremgik:
”Desværre mislykkedes betalingen
Dobbelttjek, at du har penge på kontoen. Vi vil forsøge at foretage betalingen igen inden for de næste par dage. Du mister Premium, hvis vi ikke har en betalingsmetode, der fungerer på din konto, så du skal muligvis opdatere dine betalingsoplysninger.
OPDATERE OPLYSNINGERNE”
Klageren har oplyst, at han rettede sine betalingsoplysninger og trykkede på linket til MitID. Herefter indtastede han sin kode i MitID-appen og så, at der alene stod Spotify. Han tænkte, at der ville komme flere informationer. Han gik videre og swipede. Der blev herefter straks vist et beløb, der alene kunne ses i en brøkdel af et sekund. Han nåede at opfatte, at det var et beløb på over 800 EUR.
Banken har fremlagt en udskrift fra Nets med teksten, som klageren modtog i sin MitID-app:
”Betal 889,98 EUR til [firma F] fra kort [-768]”
Banken har anført, at klageren godkendte betalingen.
Klageren kontaktede banken, der spærrede hans betalingskort.
Den 22. december 2022 indgav klageren politianmeldelse. Af anmeldelsen fremgik bl.a. om hændelsesforløbet:
” …Fik en mail om at jeg skulle opdater mine oplysninger vedr. Spotify da betalingen ikke var gået igennem. Da vi for ca. 1 år siden har skiftet bank tænkte jeg det nok var rigtig. jeg retter mine betalings oplysninger og trykker på linket til MitID, trykker min kode på MitID app og der står bare Spotify. Jeg tænker ikke vider over det og swiper til siden og der kommer et beløb i en brøkdel af et sekund frem og lige så hurtig væk igen, jeg når at opfatte det er et beløb på over 800 euro og ved den er helt gal, kontakter derfor banken og siger som det er at de skal stoppe det da det er en falsk mail jeg har svaret på. De fortæller så det er for sent og jeg skal lave en indsigelse. Har kontaktet både MitID som også er spærret lige nu, og været på borgerservice og sørget for de ikke kan lave lån i mit navn. …”
Den 23. december 2022 indgav klageren indsigelse til banken. I indsigelsesblanketten oplyste klageren bl.a., at han ikke havde godkendt betalingen.
Den 27. december 2022 afviste banken indsigelsen med begrundelsen, at kortbetalingen var godkendt med klagerens MitID-app, der var installeret på hans telefon.
Klageren klagede over afvisningen, og banken fastholdt afvisningen.
Parternes påstande
Den 3. januar 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal tilbageføre 6.621,97 DKK.
Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har bl.a. anført, at banken burde dække hans tab, da han på intet tidspunkt blev oplyst om, hvilket beløb der var tale om. Han er frustreret over, at man kan vise MitID-appen uden et beløb og på den måde vildlede folk.
Han nåede at opfatte, at det var et beløb på over 800 EUR, og han vidste, at den var helt gal. Han kontaktede derfor straks banken og bad dem stoppe betalingen, da det var en svindelmail, han havde svaret på. Medarbejderen i banken svarede, at det kunne hun godt se, og at hun ikke var i tvivl om, at der var tale om snyd. Hun kunne ikke stoppe betalingen. Han kan ikke forstå, at betalingen ikke kunne stoppes, når alle var enige om, at det var snyd. Da han reagerede så hurtigt, burde det være muligt at stoppe betalingen.
Selvrisikoen på 8.000 DKK gælder kun, hvis han har udvist ”groft uforsvarlig adfærd”, og efter praksis skal der rigtig meget til, før man har opført sig groft uforsvarligt. Det har han ikke. Han havde ikke en chance. Det er rigtigt, at der kom et beløb og måske noget andet frem, men det nåede han ikke at se, og han kontaktede banken lige bagefter.
Måske skulle han have været mere forsigtig og ikke have givet sine betalingsoplysninger på nettet, men det gav god mening for ham, og han blev snydt på en så udspekuleret måde, at det var umuligt at undgå godkendelsen, efter han kunne se, at det var snyd.
Det er forkert, når banken anfører, at det var klart for ham, at han godkendte betaling til en forkert modtager, og at han ikke var i en presset situation. Selvfølgelig godkender han ikke betaling af så stort et beløb til en helt forkert modtager. Hvor ved banken fra, at han kunne se beløbet og modtageren, inden han swipede? Banken var ikke til stede. Det, der skete, er den samme form for snyd, som alle andre bliver udsat for, uden at banken kalder det ”groft uforsvarlig adfærd”. Det er den eneste gang, det er sket for ham. Han er normalt meget forsigtig.
Danske Bank har til støtte for frifindelsespåstanden anført, at korttransaktionen blev autoriseret med klagerens MitID-app og dermed godkendt med stærk kundeautentifikation. Korttransaktionen er endvidere korrekt registeret og bogført. MitID-appen var installeret på klagerens telefon, der var i hans besiddelse på tidspunktet for godkendelse af betalingen. På den baggrund må det lægges til grund, at klageren selv autoriserede betalingen om end uforvarende.
Klageren videregav selv sine kortoplysninger til tredjemand, der muliggjorde betalingsanmodningen. Det fremgik af godkendelsesteksten i klagerens MitID-app, at betalingsmodtageren var firmaet F, og at beløbet på 889,98 EUR svarende til 6.621,97 DKK ville blive trukket på klagerens betalingskort. Det måtte således være klart for klageren, at han var ved at foretage en betaling på det pågældende beløb til en ukendt modtager.
Klageren befandt sig ikke i en presset situation i forbindelse med udleveringen af sine kortoplysninger og efterfølgende godkendelse af betalingen.
Klageren muliggjorde således ved groft uforsvarlig adfærd betalingen, hvorfor han hæfter med 8.000 DKK i henhold til betalingslovens § 100, stk. 4. Klageren var ikke berettiget til en godtgørelse af beløbet på 6.621,97 DKK, da dette var under 8.000 DKK.
Banken havde desuden ikke mulighed for at stoppe korttransaktionen, idet den ikkevedkendte transaktion blev godkendt med MitID, hvorfor den ikke kunne tilbagekaldes i henhold til afsnit 3.1 i bankens regler for Visa Dankort. Det følger tilsvarende af betalingsloven § 111, stk. 1, at banken ikke kan tilbagekalde en transaktion efter, at instruksen om transaktionen er modtaget af banken.
Banken har i øvrigt ikke handlet ansvarspådragende.
Banken har til støtte for afvisningspåstanden anført, at det af klageren anførte om, at han ikke – inden godkendelse af transaktionen i sin MitID-app – kunne se, at betalingsmodtageren var firmaet F, og at beløbet var på 889,98 EUR ikke hænger sammen med bankens oplysninger om, at klageren blev præsenteret for både beløbsmodtager og beløb i MitID-appen, som var installeret på hans telefon, der var i hans besiddelse på tidspunktet for godkendelse af betalingen. En vurdering af sagen vil derfor kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. vedtægternes § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Den 22. december 2022 blev der debiteret en kortbetaling på 889,98 EUR svarende til 6.621,97 DKK på klagerens konto i Danske Bank, som klageren ikke kan vedkende sig. Klageren kendte ikke beløbsmodtageren, der var et udenlandsk firma F.
Om baggrunden for transaktionen har klageren oplyst, at han modtog en e-mail, der så ud til at komme fra Spotify, og hvor han blev bedt om at opdatere sine betalingsoplysninger. Han rettede sine betalingsoplysninger og trykkede på linket til MitID. Herefter indtastede han sin kode i MitID-appen og så, at der alene stod Spotify. Han tænkte, at der ville komme flere informationer. Han gik videre og swipede. Der blev herefter straks vist et beløb, der alene kunne ses i en brøkdel af et sekund. Han nåede at opfatte, at det var et beløb på over 800 EUR.
Klageren gjorde indsigelse mod transaktionen over for banken, der afviste indsigelsen. Banken har oplyst, at den omtvistede betaling med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse med MitID.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet finder, at det som anført af banken må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).
Tre medlemmer – Henrik Waaben, Kritte Sand Nielsen og Jimmy Bak – udtaler:
Vi finder det godtgjort, at klageren har godkendt betalingen på 889,98 EUR med sit MitID. Vi har herved lagt vægt på udskriften fra Nets.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID-appen, hvor han fik oplysninger om beløbet på 889,98 EUR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Tina Thygesen og Kim Korup Eriksen – udtaler:
Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 6.246,97 DKK til klageren.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.