Indsigelse mod at hæfte for korttransaktion. Phishing.

Sagsnummer:453/2021
Dato:09-09-2022
Ankenævn:Bo Østergaard, Andreas Moll Årsnes, Karin Duerlund, Tina Thygesen, Poul Erik Jensen.
Klageemne:Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - groft uforsvarlig adfærd
Ledetekst:Indsigelse mod at hæfte for korttransaktion. Phishing.
Indklagede:Nordea Danmark
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for korttransaktion. Phishing.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun havde en konto med et tilknyttet betalingskort.

Den 28. september 2021 blev klagerens betalingskort anvendt til en betaling til en betalingsmodtager, F, på 1.500 EUR, som klageren ikke kan vedkende sig.

I sagen er fremlagt en mail sendt til klageren i slutningen af september 2021, der fremstod som værende fra et domænefirma. Mailen havde følgende tekst:

”Kære kunde

Domænernes navn nedenfor udløber:

Domænenavn: [klagerens domænenavn]

For at rette op på din situation har du en ekstra periode på tre (3) dage til at betale for forlængelsen.

Det kan du gøre ved at klikke på følgende link:

[link]

VIGTIGT: Hvis du ikke når frem til en aftale inden for den angivne periode, kan dit område blive slettet, og al din tjeneste vil blive annulleret.

Med venlig hilsen

Kundeservice”

Klageren har oplyst, at hun klikkede på det link, der var indeholdt i mailen, og hun blev herefter overført til en hjemmeside, hvoraf fremgik, at hun skulle betale 5 EUR for domæneadministration og domæneregistrering i 12 måneder. Klageren har fremlagt screenshots af forløbet, hvoraf det fremgår, at hun blev præsenteret for en betaling på 5 EUR under hele processen på hjemmesiden. Af et screenshot vedrørende betalingen fremgik, at der skulle betales 5 EUR, som skulle bekræftes med NemID, og at hendes anmodning var klar til godkendelse i hendes nøgleapps på mobil/tablet.

Klageren har endvidere oplyst, at hun herefter godkendte betalingen på 5 EUR med NemID, men der blev trukket et andet beløb, som først blev vist i et splitsekund efter endt godkendelse.

Banken har oplyst, at betalingen blev gennemført med sikkerhedsløsningen 3D Secure, idet betalingen blev godkendt i klagerens NemID-nøgleapp.

Banken har fremlagt en udskrift af Nets’ system, hvoraf fremgår, at følgende tekst den 28. september 2021 blev sendt til klagerens NemID-nøgleapp:

”Betal 1500,00 EUR til [F] fra kort xx8085”

Banken har endvidere oplyst, at transaktionen var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Den 1. oktober 2021 blev der trukket 1.500 EUR svarende til 11.323,49 kr. på klagerens konto.

Herefter gjorde klageren over for banken indsigelse mod betalingen. Hun anførte følgende i indsigelsesblanketten under Reason:

”Unauthorized transactions or processing errors. The amount on my receipt differs from the amount on my statement.”

Banken godtgjorde klagerens tab fratrukket 8.000 kr. svarende til 3.323,49 kr.

Parternes påstande

Den 16. oktober 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal godtgøre hende hele transaktionen og dermed betale 8.000 kr. fratrukket 5 EUR, som hun godkendte

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun ikke bør hæfte for transaktionen på nær de 5 EUR, som hun godkendte.

De screenshots fra forløbet, som hun har fremlagt, viser, at hun blev præsenteret for en betaling på 5 EUR gennem hele processen. Det ene screenshot viser klart en boks fra Nets, hvor der opkræves et beløb på 5 EUR, hvilket hun godkendte i god tro.

Da 3D Secure godkendelsen også viste 5 EUR, men der blev trukket et andet beløb, som først blev vist i et splitsekund efter endt godkendelse, har hun hermed fremlagt bevis for, at det har været muligt at manipulere med NemID og 3D Secure og hele betalingsprocessen omhandlende den omtvistede betaling.

Nordea Danmark har anført, at betalingen på 1.500 EUR er korrekt registreret, bogført og i øvrigt ikke fejlbehæftet. Klageren har også erkendt at have foretaget betalingen, blot med en andet beløb.

Udskriften fra Nets’ system viser, at klageren blev præsenteret for teksten ”Betal 1500,00 EUR til [F] fra kort xx8085”, hvorfor der ikke kan være tvivl om, at klageren godkendte betalingen på netop dette beløb.

At klageren gennem processen med betalingen på den hjemmeside, som hun var blevet linket til, så, at hun kun skulle betale 5 EUR, ændrer ikke herpå. De screen- shots, som klageren har vedlagt, er alle skærmbilleder fra den hjemmeside, som hun var blevet linket til. Det er ikke en kopi af den tekst, som hun blev præsenteret for i NemID-nøgleappen.

Når klageren - mod en forventet betaling på 5 EUR - valgte at godkende et beløb på 1.500 EUR, som hun efterfølgende ikke vil vedkende sig, så var selve godkendelsen af betalingen i NemID-nøgleappen groft uforsvarlig adfærd fra hendes side, hvorfor banken var berettiget til at tage en selvrisiko på 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 3. Banken kunne have besluttet, at klageren skulle hæfte for det fulde beløb, jf. betalingslovens § 100, stk. 5 og Ankenævnssag 17/2020, men da banken i indsigelsesbehandlingen har valgt, at hun kun skulle hæfte for 8.000 kr., ændrer indbringelse af sagen for Ankenævnet ikke herpå.

Ankenævnets bemærkninger

Klageren har gjort indsigelse mod en transaktion på 1.500 EUR til en betalingsmodtager F.

Om baggrunden for transaktionen har klageren oplyst, at hun i slutningen af september 2021 modtog en mail, hvoraf det fremgik, at hun skulle betale 5 EUR yderligere til et domænefirma for sit domænenavn. Hun klikkede på det link, som var indeholdt i mailen og blev overført til en hjemmeside, hvorfra hun kunne foretage betalingen. Af de screenshots, som hun har fremlagt, fremgår det, at hun blev præsenteret for en betaling på 5 EUR under hele processen. Hun godkendte betalingen på 5 EUR med NemID, men der blev trukket et andet beløb, som først blev vist i et splitsekund efter endt godkendelse. 

Banken har oplyst, at den omtvistede betaling med klagerens betalingskort blev foretaget ved godkendelse i klagerens NemID-nøgleapp.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Klageren har anført, at hun ikke godkendte betalingen af 1.500 EUR til F.

Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.

Ankenævnet finder endvidere, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.

Efter lov om betalinger § 100, stk. 4, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Bo Østergaard, Andreas Moll Årsnes og Karin Duerlund –  udtaler:

Vi lægger til grund, at klageren må have godkendt betalingen på 1.500 EUR i sin NemID-nøgleapp.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i NemID-nøgleappen, hvor hun fik oplysninger om beløbet på 1.500 EUR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Tina Thygesen og Poul Erik Jensen – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.  

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, hvor forbrugeren oplever, at beløbet ændrer sig efter, at transaktionen er godkendt, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, hvor beløbet først ændres efter, at transaktionen er godkendt.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr. af tabet på 11.323,49 kr., jævnfør betalingslovens § 100, stk. 3.

Vi stemmer derfor for, banken skal tilbageføre 7.625 kr. til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.