Indsigelse mod korttransaktioner vedrørende køb hos to udenlandske internetforretninger gennemført ved brug af 3D Secure/Verified by Visa

Sagsnummer:94/2019
Dato:27-06-2019
Ankenævn:Henrik Waaben, Anders Holkmann Olsen, Kristian Ingemann Petersen, Ida Marie Moesby og Finn Borgquist
Klageemne:Betalingstjenester - groft uforsvarlig adfærd
Betalingstjenester - ikke groft uforsvarlig adfærd
Ledetekst:Indsigelse mod korttransaktioner vedrørende køb hos to udenlandske internetforretninger gennemført ved brug af 3D Secure/Verified by Visa
Indklagede:Bank Norwegian
Øvrige oplysninger:OF
Senere dom:
Pengeinstitutter

Klager medhold

Indledning

Sagen vedrører indsigelse mod korttransaktioner vedrørende køb hos to udenlandske internetforretninger.

Sagens omstændigheder

Klageren har et Visa/Dankort hos Bank Norwegian.

Klageren har oplyst, at han den 12. januar 2019 forsøgte at købe fire biografbilletter til 365 kr. med kortet via en dansk billetsalgshjemmeside fra sin stationære PC. Da købet tilsyneladende ikke blev gennemført, gennemførte han uden problemer købet ved brug af et andet betalingskort.

Banken har oplyst, at der den 12. januar 2019 kl. 11.56.03, 11.57.19 og 11.58.56 blev sendt tre sms-koder til klagerens telefonnummer via sikkerhedsløsningen 3D Secure/Verified by Visa, og at to transaktioner på 5.316,32 kr. (699,82 EUR) og 13.325,94 kr. (1.550 GBP) vedrørende køb med klagerens kort hos to udenlandske internetforretninger, F1 og F2, blev autoriseret kl. 11.57.15 og 12.00.50 den samme dag ved brug af 3D Secure/Verified by Visa. Banken har fremlagt en oversigt over sms-koder sendt til klagerens telefonnummer den 12. januar 2019 og en bekræftelse på brug af 3D Secure vedrørende transaktionerne hos F1 og F2 fra Nets. Der blev herefter hævet i alt 18.642,26 kr. på klagerens konto vedrørende køb hos F1 og F2.

Klageren har oplyst, at han den 12. januar 2019 ”vendte tilbage til mit Bank Norwegian kort, for at se hvad der var galt med min transaktion. Det viste sig at transaktionen alligevel var gået igennem, men jeg stoppede den, da jeg jo havde betalt billetterne med et andet kort”. Han kunne herefter se, at købet af billetterne var stoppet, og at der var reserveret to beløb på henholdsvis 5.316,32 kr. (699,82 EUR) og 13.325,94 kr. (1.550 GBP) til F1 og F2. Han kontaktede derefter banken, og kortet blev spærret den 12. januar 2019.

Klageren har oplyst, at han den 17. januar 2019 anmeldte sagen til politiet, der meddelte, at det ikke var en politisag, da kortet ikke var stjålet.

Den 20. januar 2019 indgav klageren en indsigelse til banken.

Den 7. februar 2019 meddelte banken, at den ikke kunne sende sagen til Visa, da transaktionerne var gennemført ved brug af sms-koder og Verified by Visa. Den 12. og 17. februar 2019 fastholdt klageren indsigelsen og meddelte, at han ikke havde modtaget de anførte sms-koder til bekræftelse af købene. I en e-mail af 17. februar 2019 anførte klageren:

Nu har jeg igen fået en mærkelig mail fra ”Nets”, hvor de vil foretage en udenlands transaktion fra mit kreditkort. Det er fuldstændig den sammen som jeg fik i januar måned. Nu er det ikke mit Norwegian kort men mit andet danske betalingskort …

Jeg vedlægge denne mærkelige mail, som ikke er fra Nets. Det er et bevis på at der er nogen som uretmæssigt forsøger at anvende mit kreditkort på Nettet !!”

Den 21. februar 2019 meddelte banken, at den ville kreditere klageren det samlede beløb med fradrag af 8.000 kr. Banken tilbageførte herefter 10.642,26 kr. til klageren.

Klageren har fremlagt en e-mail af 24. februar 2019 fra F1 til klageren, hvori F1 anførte:

”Tak for din tilbagemelding.

Vores regnskabsafdeling har nu haft tid til at undersøge sagen.

Det viser sig desværre, at dit kort er blevet misbrugt af en anden kunde.

Du kan derfor anmelde sagen til politiet, og samtidig gøre indsigelse overfor din bank.

Politiet vælger nogen gange at kontakte os, og så klarer de det sammen med vores svindelafdeling. …”

Banken har fremlagt sine Aftalevilkår for kreditkort – forbrugervilkår, hvoraf det blandt andet fremgik:

”… 11. Beskyttelse af kort og kode. Anmeldelse ved tab

Kortet er personligt og må ikke overdrages eller på anden måde overlades til eller bruges af andre end den person, det er udstedt til. Kortindehaveren skal sikre, at uvedkommende ikke får adgang til kortet. Kortindehaveren skal træffe alle rimelige forholdsregler for at beskytte de personlige sikkerhedsforanstaltninger (f.eks. PIN-kode), der er knyttet til kreditkortet, så snart kortet er modtaget. Den personlige kode må ikke gives til andre personer, heller ikke til politiet eller Bank Norwegian, og må under ingen omstændigheder opbevares sammen med kreditkortet. I øvrigt må koden ikke anvendes under forhold, hvor andre kan se den. Kortindehaveren bør huske sin kode. Hvis kortholder har viden eller mistanke om, at kreditkortet er tabt eller at uvedkommende har fået kendskab til PIN-koden, skal kortholder underrette Bank Norwegian eller Bank Norwegians udpegede samarbejdspartnere straks. …

20. Ansvar for uautoriseret brug af kreditkortet

Bank Norwegian har ansvaret for uautoriserede hævninger eller anden belastning (betalingstransaktioner), hvis intet andet fremgår af bestemmelserne nedenfor. Betalingstransaktionen betragtes som uautoriseret, hvis kortindehaveren ikke har godkendt den før eller efter, at transaktionen er gennemført.

Efter betalingstjenesteloven § 62 hæfter kortindehaveren for op til 1.100 DKK for tab ved uautoriserede betalingstransaktioner, der skyldes, at kreditkortet er bortkommet eller er blevet stjålet, hvis den personlige kode eller anden lignende sikkerhedsforanstaltning er anvendt. Det samme gælder betalingstransaktioner, der skyldes, at en uvedkommende person er kommet i besiddelse af et kreditkort, og det er mislykkedes for kortindehaveren at beskytte den nævnte personlige sikkerhedsforanstaltning, og den er blevet brugt.

Efter betalingstjenesteloven § 62 hæfter kortindehaveren med op til 8.000 DKK ved uautoriserede betalingstransaktioner, hvis tabet skyldes, at kortindehaveren gennem grov uagtsomhed har undladt at opfylde en eller flere af sine forpligtelser i overensstemmelse med denne aftale. Hvis tabet skyldes, at kortindehaveren har handlet svigagtigt eller med forsæt har undladt at opfylde sine forpligtelser i henhold til denne aftale, skal kortindehaveren bære hele tabet.

Kortindehaveren har ikke ansvar for tab, der skyldes brug af et kreditkort, der er bortkommet, stjålet eller er faldet i de forkerte hænder, efter at kortindehaveren har underrettet Bank Norwegian i overensstemmelse med punkt 9, hvis ikke kortindehaveren har optrådt svigagtigt. …”

Parternes påstande

Den 3. marts 2019 har klageren indbragt sagen for Ankenævnet med påstand om, at Bank Norwegian skal tilbageføre 8.000 kr. med fradrag af selvrisiko.

Bank Norwegian har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hans kort er blevet misbrugt til køb hos F1 og F2. Han har på intet tidspunkt haft kontakt til F1 og F2 og må holdes skadesløs.

Banken må kunne se, hvad det var for ulovlige transaktioner, der blev foretaget på hans kreditkort.

Han har ikke handlet groft uansvarligt i brugen af sit kort og kan ikke acceptere en hæftelse for en egen andel på 8.000 kr.

Han modtog ikke sms-koder, som han skulle have brugt til at autorisere de omhandlede transaktioner. Han ved ikke hvilke koder, han skulle have anvendt eller til hvem, han skulle have sendt dem. Han har ikke indtastet sine kortoplysninger eller kortets trecifrede sikkerhedsnummer eller sms-koder til nogen, bortset fra til købet af biografbilletterne, som ikke gik igennem.

Han fik kortet spærret, straks da han blev opmærksom på, at beløbene var reserverede. Den 14. januar 2019 kunne han se, at beløbene ikke længere var reserverede, og han gik derfor ud fra, at det var tale om en fejltagelse. Den 16. januar 2019 så han, at beløbene nu fremgik som køb. Han kontaktede igen banken og fik besked på at anmelde misbruget til politiet. Politiet meddelte, at det ikke var en politisag, da kortet ikke var stjålet, og at banken kunne kontakte politiet i tilfælde af tvivl. Den 24. januar 2019 kontaktede han atter bankens kundeservice og fortalte, hvad politiet havde meddelt ham.

Bank Norwegian har anført, at transaktionerne blev godkendt med engangskoder sendt på sms fra Verified by Visa. Sms-koden er en personlig sikkerhedsforanstaltning. Sms-koderne blev sendt til det telefonnummer, som klageren selv havde angivet. Telefonnummeret er tilknyttet det konkrete betalingskort.

Klageren modtog sms-koderne i umiddelbar forbindelse med de konkrete betalingstransaktioner. Transaktionerne var autoriserede betalinger, da klageren har indtastet sine kortoplysninger, betalingskortets trecifrede sikkerhedsnummer og de tilsendte sms-koder.

Klageren har handlet groft uforsvarligt, jf. lov om betalinger § 100, stk. 4, nr. 3.

Efter bankens opfattelse videregav klageren selv sine oplysninger til uvedkommende. Det er ikke oplyst hvordan eller til hvem, klageren videregav sine oplysninger. Klageren er nærmest til at oplyse sagen. Banken går ud fra, at klageren har været udsat for phishing, som kunne ske ved, at klageren trykkede på et link i en mail, opgav sine oplysninger over telefonen eller på en helt tredje måde. Ud fra sagens oplysninger lægger banken til grund, at klageren trykkede på linket i mailen fra januar, blev ledt videre til en hjemmeside, hvor han indtastede sine kortoplysninger, kortets trecifrede sikkerhedsnummer samt sms-koderne fra 3D Secure/Verified by Visa, som han fik tilsendt på sin mobil i forbindelse med indtastningen af kortoplysningerne.

Der har i længere tid været mange advarsler mod phishing både på Nets og NemIDs hjemmesider og i medierne generelt om, at man skal sørge for at se på mail-adressen og undlade at trykke på links i de modtagne e-mails.

Klageren har ikke i tilstrækkelig grad værnet om sine kortoplysninger og de personlige sikkerhedsoplysninger, jf. punkt 11 og punkt 20 i bankens aftalevilkår for kreditkort – forbrugervilkår.

Ankenævnets bemærkninger

Den 12. januar 2019 blev der autoriseret to betalingstransaktioner på i alt 18.642,26 kr. vedrørende køb hos to udenlandske internetforretninger F1 og F2, med klagerens Visa/Dankort, der er udstedt af Bank Norwegian. Klageren spærrede kortet den samme dag.

Banken har oplyst, at transaktionerne skete med såkaldt 3D Secure/Verified by Visa, det vil sige på grundlag af sms-koder, som blev sendt til klagerens telefonnummer, hvilket er bekræftet af Nets, samt på grundlag af kortoplysninger bestående af kortnummer, udløbsdato samt det trecifrede sikkerhedsnummer på bagsiden af kortet.

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Klageren har bestridt, at han skulle have modtaget eller anvendt de pågældende sms-koder.

Ankenævnet finder ikke grundlag for at betvivle klagerens oplysninger om manglende kendskab til F1 og F2 og de pågældende køb, og at han ikke har modtaget eller anvendt sms-koderne.

Ankenævnet finder det herefter godtgjort, at transaktionerne skyldes tredjemands misbrug/uberettigede anvendelse af klagerens Visa/Dankort, og at misbruget også omfatter sms-koderne.

Ankenævnet finder, at sms-koden var en personlig sikkerhedsforanstaltning til kortet, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Da der som anført ikke er grundlag for at betvivle klagerens oplysninger i sagen, finder Ankenævnet, at banken ikke har godtgjort, at der er grundlag for at pålægge klageren videregående hæftelse.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt i forbindelse med misbruget, hæfter klageren for 375 kr. af tabet, jf. betalingslovens § 100, stk. 3.

Ankenævnets afgørelse

Bank Norwegian skal inden 30 dage til klageren betale 7.625 kr. med valør fra datoen for debitering af transaktionerne.

Klageren får klagegebyret tilbage.