Indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af sms, der fremstod som en opfordring til at be-tale porto for pakke.

Sagsnummer:544/2021
Dato:16-01-2023
Ankenævn: Vibeke Rønne, Morten Winther Christensen, Andreas Moll Årsnes, Jacob Ruben Hansen, Lisbeth Baastrup Burgaard
Klageemne:Betalingstjenester - ubegrænset hæftelse
Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af sms, der fremstod som en opfordring til at be-tale porto for pakke.
Indklagede:Vestjysk Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af sms, der fremstod som en opfordring til at betale porto for pakke.

Sagens omstændigheder

Klageren var kunde i Vestjysk Bank, hvor han havde et betalingskort.

Den 15. november 2021 kl. 13.28 blev der foretaget en korttransaktion på 1.937,24 EUR fra klagerens konto i banken til en betalingsmodtager, M, som klageren ikke kan vedkende sig.

Klageren har oplyst, at han om formiddagen den 15. november 2021 købte julegaver i forskellige butikker på internettet. Den samme dag kl. 13.00 fik han en sms, der så ud til at være fra Postnord, hvori han blev bedt om at betale porto på 27,27 DKK. Han trykkede på sms’en og betalte 27,27 DKK via NemID/NemID-nøgleapp. Da transaktionen ikke kunne gennemføres, kontaktede han straks Postnord, der oplyste, at der var tale om svindel. Han kontaktede omgående banken og fik spærret kortet.

Banken har fremlagt udskrifter fra klagerens NemID log, hvoraf det fremgår, at transaktionen den 15. november 2021 kl. 13.28 blev accepteret i NemID-nøgleapp -882, som var blevet aktiveret den 16. december 2020.

Banken har fremlagt en log og en meddelelse fra Nets, hvoraf det fremgår, at transaktionen blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse med NemID-nøgleapp, og at følgende tekst blev sendt til NemID-nøgleappen ved godkendelse af transaktionen:

”Betal 1937,24 EUR til [M] fra kort xx5034”

Den 17. november 2021 blev transaktionen bogført på klagerens konto med 14.625,73 DKK.

Den 17. november 2021 indgav klageren indsigelse til banken, der den 19. november 2021 afviste indsigelsen.

Banken har fremlagt et print af et Facebook opslag fra Postnord af 22. januar 2021, hvori Postnord advarede mod fupbeskeder om betaling af beløb for udlevering af pakker.

Parternes påstande

Den 24. november 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Vestjysk Bank skal tilbageføre det hævede beløb til ham.

Vestjysk Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han anvendte sin NemID-nøgleapp til at betale 27,27 DKK for leveringsomkostninger til Postnord. Han husker tydeligt, at han godkendte beløbet på 27,27 DKK. Han kontrollerede, at overførslen og beskeden fra Postnord var på 27,27 DKK.

Han handlede i god tro og betalte til Postnord, da han havde købt julegaver på internettet den 15. november 2021. Han var derfor sikker på, at sms’en blev sendt fra Postnord.

Der fremgik ikke et stort beløb i EUR. Han køber aldrig fra udenlandske forretninger eller betaler i EUR, hvilket man kan se på hans transaktionshistorik. Et stort beløb i EUR ville have faldet ham i øjnene med det samme.

Det er bankens ansvar at trække pengene tilbage fra M.

Han er bekendt med en anden forbruger, der i god tro oplyste sine NemID oplysninger i en telefonsamtale med en person, der udgav sig for at være fra banken, og som har fået pengene tilbage.

Han kontaktede banken med det samme den 15. november 2021 for at få spærret kortet. Beløbet blev trukket på kontoen den 17. november 2021. Det undrer ham, at beløbet ikke blev trukket den 15. november 2021. Den 17. november 2021, hvor han opdagede, at beløbet var trukket på hans konto, indgav han indsigelse. Banken burde have spærret hans kort omgående ved hans henvendelse den 15. november 2021 og ikke have ventet til den 17. november 2021.

Vestjysk Bank har anført, at klageren selv godkendte transaktionen via sin NemID-nøgleapp. Klageren havde i den sammenhæng information om hvilket beløb, der skulle overføres og til hvem. Banken hæfter derfor ikke for klagerens tab. Transaktionen blev gennemført med fuld 3 D Secure.

I NemID-nøgleappen stod oplysning om beløbet på 1.937,24 EUR og betalingsmodtageren M. Det er hele formålet med brug af appen til betalinger ved nethandel, at disse oplysninger vises.

Forholdet synes at have været, at klageren havde modtaget et link, eventuelt via sms, der angav betaling til Postnord af 27,27 DKK. Dette er en kendt fremgangsmåde for svindlere særligt i november/december, hvor mange foretager juleindkøb på nettet. Postnord har ved flere lejligheder advaret mod svindel som den, klageren blev udsat for, jf. det fremlagte Facebook opslag. Det forekommer sandsynligt, at klageren har modtaget en sådan sms, og at klageren efterfølgende har godkendt transaktionen i NemID-nøgleappen uden at læse indholdet om betalingsbeløb og modtager.

Det forhold, at klageren muligvis ikke læste den tilgængelige information, kan ikke lægges banken til last. Det er ligeledes uden betydning, om transaktionen var i EUR eller i DKK.

Klageren har ikke udvist den nødvendige agtpågivenhed, der kræves for, at banken er forpligtet til at dække beløbet, jf. betalingslovens § 100, da der ikke er tale om uberettiget anvendelse af betalingstjenesten.

Hvis hændelsesforløbet anses for uberettiget anvendelse af betalingstjenesten, falder forholdet ind under betalingslovens § 100, stk. 4, nr. 3.

Kortet var ikke spærret på købstidspunktet. Som følge af clearing den 16. november 2021 blev beløbet først trukket på klagerens konto den 17. november 2021. Det havde ikke gjort forskel, hvis kortet var spærret straks efter godkendelsen den 15. november 2021 kl. 13.28. Transaktionen var godkendt, og spærring af kortet havde ikke hindret trækket.

Ankenævnets bemærkninger

Klageren har gjort indsigelse mod en transaktion på 1.937,24 EUR foretaget med hans betalingskort den 15. november 2021 kl. 13.28 til en betalingsmodtager, M.

Klageren har oplyst, at han den 15. november 2021 kl. 13.00 fik en sms, der så ud til at være fra Postnord, hvori han blev bedt om at betale porto på 27,27 DKK. Han trykkede på sms’en og betalte via NemID/NemID-nøgleapp. Da transaktionen ikke kunne gennemføres, kontaktede han straks Postnord, der oplyste, at der var tale om svindel. Han kontaktede omgående Vestjysk Bank og fik spærret kortet.

Banken har afvist at dække klagerens tab.

Transaktionen på 1.937,24 EUR blev foretaget ved godkendelse i NemID-nøgleapp.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter at transaktionen var godkendt, uanset tidspunktet for den efterfølgende spærring af kortet.

Ankenævnet finder det godtgjort, at transaktionen skyldtes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.

Det fremgår af forarbejderne til betalingslovens § 100, stk. 5, (lovforslag nr. L157, af 15. marts 2017), at hæftelse uden beløbsbegrænsning ikke finder anvendelse, hvis den personlige sikkerhedsforanstaltning uforvarende er overladt til andre, eksempelvis i forbindelse med phishing, idet betaleren ikke har overdraget den personlige sikkerhedsforanstaltning med forsæt til, at der skal foretages den uberettigede anvendelse.

Ankenævnet finder, at klageren har været udsat for phishing. Ankenævnet finder, at banken ikke har godtgjort, at betingelserne for, at klageren hæfter uden beløbsbegrænsning efter betalingslovens § 100, stk. 5, er opfyldt.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Vibeke Rønne, Morten Winther Christensen og Andreas Moll Årsnes – udtaler:

Vi finder det godtgjort, at klageren har godkendt betalingen på 1.937,24 EUR i sin NemID-nøgleapp. Vi har herved lagt vægt på indholdet af meddelelsen fra Nets. Vi finder, at banken derfor har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i NemID-nøgleappen, hvor han fik oplysninger om beløbet på 1.937,24 EUR og beløbsmodtager. Som følge heraf hæfter klageren med 8.000 DKK.

Vi stemmer derfor for, at banken skal tilbageføre 6.625,73 DKK (14.625,73 DKK med fradrag af 8.000 DKK) til klageren med valør fra datoen for debitering af transaktionen.

To medlemmer – Jacob Ruben Hansen og Lisbeth Baastrup Burgaard – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen. 

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, hvor forbrugeren oplever, at beløbet ændrer sig efter, at transaktionen er godkendt, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, hvor beløbet først ændres efter, at transaktionen er godkendt.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet på 14.625,73 DKK, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 14.250,73 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

 

Ankenævnets afgørelse

Vestjysk Bank skal inden 30 dage tilbageføre 7.625,73 DKK til klagerens konto med valør fra datoen for debitering af transaktionen.

Klageren får klagegebyret tilbage.