Indsigelse mod at hæfte for 8.000 kroner af tabet ved tredjemands misbrug af betalingskort i forbindelse med phishing

Sagsnummer:55/2022
Dato:09-09-2022
Ankenævn:Bo Østergaard, Jesper Claus Christensen, Andreas Moll Årsnes, Tina Thygesen, Poul Erik Jensen.
Klageemne:Betalingstjenester - ubegrænset hæftelse
Betalingstjenester - ikke groft uforsvarlig adfærd
Betalingstjenester - groft uforsvarlig adfærd
Ledetekst:Indsigelse mod at hæfte for 8.000 kroner af tabet ved tredjemands misbrug af betalingskort i forbindelse med phishing
Indklagede:Sydbank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Denne sag vedrører klagerens indsigelse mod at hæfte for 8.000 kroner af tabet ved tredjemands misbrug af hans betalingskort i forbindelse med phishing.

Sagens omstændigheder

Den 6. december 2021 blev der med klagerens betalingskort, der var udstedt af Sydbank, foretaget en betaling på 1.494,86 euro, svarende til 11.285,44 kroner, til betalingsmodtager A.

Banken har oplyst, at betalingen blev korrekt registreret og bogført, og at den ikke var ramt af tekniske svigt eller andre fejl, jævnfør betalingslovens § 98, stk. 1. Betalingen blev godkendt i klagerens NemID nøgleapp serienummer -762, som var blevet installeret den 9. februar 2020 og aktiveret den 10. februar 2020. Banken har under sagen i Ankenævnet fremlagt et udateret dokument fra Nets vedrørende gennemførelsen af betalingen.

På et ikke oplyst tidspunkt gjorde klageren indsigelse mod betalingen. Der er under sagen i Ankenævnet ikke fremlagt indsigelsesblanket eller andre dokumenter vedrørende indsigelsen.

Den 1. februar 2022 skrev bankens klageansvarlige blandt andet følgende til klageren:

”…

Du har oplyst, at du modtog en sms fra NemID vedrørende opdatering af din NemID, og at du klikkede på et link i sms’en.

Vi kan konstatere, at der herefter blev godkendt en betaling på 1.494,86 EUR i din NemID nøgleapp. Følgende tekst blev sendt til nøgleappen:

Betal 1.494,86 EUR til [A] fra kort xx8901

Bankens forpligtelser i forbindelse med indsigelsessager fremgår af betalingsloven. Banken er som udgangspunkt forpligtet til at dække kunders tab i forbindelse med uautoriserede transaktioner. Hvis en kunde ved groft uforsvarlig adfærd har muliggjort svindlen, hæfter kunden selv for 8.000 kr. af tabet.

Efter en samlet vurdering, herunder at du godkendte transaktionen med din NemID nøgleapp, er det vores opfattelse, at du ved groft uforsvarlig adfærd har muliggjort svindlen. På den baggrund hæfter du selv for 8.000 kr. af misbruget.

…”

Parternes påstande

Den 11. februar 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Sydbank skal dække hele tabet og således betale 8.000 kroner.

Sydbank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at bankens dækning af 3.285,44 kroner af tabet er utilstrækkelig. Banken bør dække hans fulde tab på 11.285,44 kroner.

Hans konto i banken blev hacket. Han har aldrig godkendt betalingen via NemID eller andet.

Sydbank har anført, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jævnfør betalingslovens § 100, stk. 4, nr. 3.

Klageren modtog en phishing-SMS med ”NemID” som afsender, hvor han blev bedt om at opdatere sit NemID. Klageren klikkede på et link i SMS’en og indtastede sine kortoplysninger. Der blev herefter oprettet en betaling, som blev sendt til godkendelse i klagerens NemID nøgleapp. Det fremgik klart og tydeligt af følgeteksten, at det var godkendelse af en betaling på 1.494,86 EUR til A.

Det er bankens opfattelse, at klageren godkendte betalingen i sin NemID nøgleapp, hvorefter betalingen blev gennemført.

Klageren befandt sig ikke i en presset situation svarende til for eksempel den situation, hvor misbruget sker i forbindelse med en telefonisk henvendelse.

Ud fra en samlet vurdering er det derfor bankens opfattelse, at klageren muliggjorde betalingen ved groft uforsvarlig adfærd, jævnfør betalingslovens § 100, stk. 4, nr. 3. Klageren hæfter derfor for 8.000 kroner af tabet, og banken har derfor godgjort klageren 3.285,44 kroner.

Ankenævnets bemærkninger

Den 6. december 2021 blev der med klagerens betalingskort, der var udstedt af Sydbank, foretaget en betaling på 1.494,86 euro, svarende til 11.285,44 kroner, til betalingsmodtager A. Betalingen blev godkendt i klagerens NemID nøgleapp.

På baggrund af en indsigelse fra klageren godtgjorde banken 3.285,44 kroner, hvorved klagerens tab som følge af transaktionen blev nedsat til 8.000 kroner.

Det lægges til grund, at transaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jævnfør betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jævnfør betalingslovens § 93.

Klagerens NemID var en personlig sikkerhedsforanstaltning, jævnfør betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jævnfør betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Tre medlemmer – Bo Østergaard, Jesper Claus Christensen og Andreas Moll Årsnes – udtaler:

Vi finder det godtgjort, at klageren må have godkendt betalingen på 1.494,86 euro, svarende til 11.285,44 kroner, i sin NemID-nøgleapp.

Vi finder, at banken herved har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da klageren burde have reageret på teksten i NemID-nøgleappen, hvor han fik oplysninger om beløbet på 1.494,86 euro og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 kroner, jævnfør betalingslovens § 100, stk. 4, nr. 3.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer –  Tina Thygesen og Poul Erik Jensen – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

 

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.  

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, hvor forbrugeren oplever at beløbet ændrer sig efter, at transaktionen er godkendt, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, hvor beløbet først ændres efter, at transaktionen er godkendt.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kroner, jævnfør betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.625 kroner til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.