Indsigelse mod kortbetalinger med Visa/dankort, der blev gennemført som ”3D Secure” betalinger.

Sagsnummer:214/2018
Dato:04-04-2019
Ankenævn:Vibeke Rønne, Anita Nedergaard, Karin Duerlund, Troels Hauer Holmberg og Anna Marie Schou Ringive
Klageemne:Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - fjernsalgstransaktioner
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod kortbetalinger med Visa/dankort, der blev gennemført som ”3D Secure” betalinger.
Indklagede:Nykredit Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod kortbetalinger med Visa/dankort, der blev gennemført som ”3D Secure betalinger”.

Sagens omstændigheder

Klageren var kunde i Nykredit Bank, hvor hun blandt andet havde en konto -373 med et tilknyttet Visa/dankort samt en opsparingskonto og adgang til mobilbank.

Tirsdag den 22. maj 2018 kl. 12:40 tilmeldte klageren sit kort til ”Verified by Visa”, som er en 3D Secure sikkerhedsløsning, ved anvendelse af sit NemID.

Af bankens Brugerregler - Visa/dankort gældende fra den 1. januar 2018 fremgik blandt andet:

”…

3.5 Brug af kortnummer, udløbsdato og kontrolcifre

Når du benytter kortet til køb fx via internettet, skal du oplyse kortnummer, kortets udløbsdato og kontrolcifre.

Hvis forretningen er tilmeldt Verified by Visa eller Dankort Secured by Nets (se afsnit 6), skal du derudover indtaste den engangskode du vil modtage vis SMS i forbindelse med købet. Denne kode er forretningens sikkerhed for, at der er kortholder, der har kortet, når der betales. …

6. Sikre internetbetalinger

”Verified by Visa og ” Dankort Secured by Nets” er en ekstra beskyttelse mod misbrug af kortdata ved handel på internettet. Sikkerheden består i, at du ved køb på internettet efter indtastning af kortoplysninger skal benytte en engangskode, som du modtager fra Nets via SMS i forbindelse med betalingen. Engangskoden skal kun anvendes ved køb i internetforretninger, der anvender denne ekstra beskyttelse.

  1.     Generelle råd om dit Visa/Dankort

3.2 Særlige råd ved handel med Visa/Dankort på nettet

Pas på dit kortnummer.

Opgiv aldrig dit kortnummer, medmindre du er i en decideret købssituation, hvor du ønsker at betale for noget. I andre situationer skal du aldrig, selvom du bliver opfordret til det, indtaste dit kortnummer. Hverken som ID, en del af ”medlemsoplysninger” eller for at komme videre til en anden side.

…”

Af en transaktionsliste indhentet fra Nets fremgik, at der den 22. maj 2018 blev foretaget følgende transaktioner med klagerens Visa/dankort:

Tid

Forretning

Beløb

Afregnet beløb i DKK

Sikkerhed

Status

12:40

F

250 USD

1.607,27

3D Secure

Gennemført

13:26

G

43,90 DKK

43,90

Kontaktløs

Gennemført

14:13

F

1.000 USD

6.429,09

3D Secure

Gennemført

14:16

F

1.000 USD

6.429,09

3D Secure

Gennemført

14:17

F

1.000 USD

6.429,09

3D Secure

Gennemført

14:22

H

1.000 USD

0

3D Secure

Afvist  

Der blev gennemført fire betalinger til en udenlandsk investeringsvirksomhed F. Endvidere blev der foretaget et forsøg på en fjernsalgstransaktion til en udenlandsk virksomhed H, som ikke blev gennemført. Ifølge en udskrift, som banken har fremlagt, fremsendte Nets den 22. maj 2018 i forbindelse med transaktionerne SMS-engangskoder til klagerens telefonnummer henholdsvis kl. 12:39, kl. 14:11, kl. 14:15, kl. 14:17 og kl. 14:19, og de fire første betalinger blev herefter gennemført med 3D Secure. Af en af banken fremlagt oversigt over historikken på klagerens betalingskort fremgår, at kortet blev spærret kl. 14:19 af Nets som en såkaldt ”blød spærring”, hvilket vil sige, at der var mulighed for at åbne kortet igen efter kontakt til kortudsteder.   

Det fremgår af en posteringsliste for konto -373, at saldoen på kontoen den 22. maj 2018 var 1.657,95 kr. forinden gennemførelsen af betalingerne til F. Den 22. maj kl. 14:08 (med logningsregistrering kl. 14:16) overførte klageren via mobilbank 6.200 kr. fra sin opsparingskonto til konto -373, og den 22. maj 2018 kl. 14:22 overførte klageren via mobilbank yderligere 10.000 kr. fra sin opsparingskonto til konto -373. Saldoen på klagerens opsparingskonto var herefter nul.

De to overførsler via mobilbank fra klagerens opsparingskonto til konto -373 blev overført fra en iPhone og en IP adresse, som klageren både før og efter de omtvistede transaktioner ofte anvendte til at tilgå sin mobilbank. Klageren har anført, at det fremgår af en oversigt fra banken, at overførslerne blev foretaget fra en iPhone 8.1, og at hun har en iPhone 6s. Banken har oplyst, at uoverensstemmelsen skyldes, at bankens edb-central anvender betegnelsen iPhone 8.1 for en iPhone 6s. Banken har fremlagt et ”oversættelsesark” fra edb-centralen, der viser, at en iPhone 8.1 svarer til en iPhone 6s i bankens systemer.

Klageren har oplyst, at banken ringede til hende den 22. maj 2018 om eftermiddagen om fjernsalgstransaktionerne. Hun troede, at det drejede sig om en anden indsigelse, som hun havde haft vedrørende noget tøj, som hun havde bestilt, og som efterfølgende var kommet. Hun oplyste derfor, at hun ikke skulle have penge tilbage vedrørende dette forhold.

Klageren har endvidere oplyst, at hun den 23. maj 2018 om aftenen modtog en mærkelig mail, hvor hendes underskift var forfalsket på fire transaktioner, som hun ikke kendte noget til. Hun ringede derfor til banken ca. kl. 19:30 og spærrede sit kort. Det var desværre for sent, idet de pågældende fire transaktioner til F, der udgjorde i alt 20.894,54 DKK, blev trukket på hendes konto den 24. maj 2018. Hun prøvede at finde mailen igen, men den var blevet slettet. Hun ændrede herefter sin adgangskode til sin mail.

Klageren udfyldte efterfølgende en indsigelsesblanket med en tro- og loverklæring, hvorved hun gjorde indsigelse mod de fire fjernsalgstransaktioner til F, idet hun anførte, at hun hverken havde deltaget i eller godkendt transaktionerne. Hun oplyste, at kortet havde været i hendes besiddelse på tidspunktet for de ikke vedkendte transaktioner.

Banken afviste at tilbageføre betalingerne.

Den 22. juni 2018 indbragte klageren sagen for Ankenævnet.

Klageren har under sagens forberedelse fremlagt et dokument, som hun, efter at hun indbragte sagen for Ankenævnet, har fået fremsendt fra investeringsvirksomheden F. Heraf fremtræder det som om, at hun den 22. maj 2018 med sin underskrift har godkendt, at hun foretog et indskud på 250 USD og tre indskud på hver 1.000 USD på en konto hos F og samtidig godkendte F’s Terms and Conditions. Klageren har oplyst, at hendes underskrift er forfalsket. Det fremgår tydeligt, at underskriften ikke ligner hendes ”ægte” underskrift.   

Parternes påstande

Klageren har nedlagt påstand om, at Nykredit Bank skal tilbageføre de ikke vedkendte hævninger til hendes konto.

Nykredit Bank har principalt nedlagt påstand om afvisning, subsidiært om frifindelse.

 Parternes argumenter

Klageren har anført, at hun ikke kender noget til de omtvistede transaktioner, og at banken bør refundere hende det afregnede beløb på i alt 20.894,54 DKK.

Hun ved ikke, hvorledes transaktionerne er foretaget, og hun har ikke modtaget nogen SMS-engangskoder.

Hun spærrede sit kort straks efter, at hun fik mistanke om misbruget.

Hun kender intet til investeringsvirksomheden F. Der er nogen, der har forfalsket hendes underskrift på dokumentet vedrørende indskuddene i F, som hun fik sendt fra F.

Hun har kontaktet Nets, der har oplyst, at det ser ud som om, at det er hendes Apple-id, der er blevet hacket. Nets har sendt SMS-engangskoderne, men har oplyst, at mange oplever, at engangskoderne bliver hacket inden, at de når frem. Koderne kan muligvis være blevet hacket gennem hendes Apple-id.

Hun har en iPhone 6s og ikke en iPhone 8.1, som banken har oplyst blev anvendt til overførslerne via mobilbank og til de ikke vedkendte transaktioner. Hun kender i øvrigt ikke den IP-adresse, som blev anvendt.

Det af banken anførte om, at hun flyttede beløbene fra sin opsparing til sin konto -373 for at dække de ikke vedkendte transaktioner, bestrides. Det ene beløb, som hun overførte til kontoen var et beløb, som en af hendes veninder skulle have tilbagebetalt i forbindelse med aflysning af en fælles ferie. Endvidere havde hun lige sagt op på sit arbejde på grund af en allergisk reaktion, og det andet beløb, som hun overførte fra sin opsparing, skulle hun leve af, indtil hun fik et nyt arbejde.

Da hun ikke kendte noget til de ikke vedkendte transaktioner, var det svært at vide, hvornår hun ikke måtte flytte sine egne penge. Det kan ikke være ulovligt at flytte sine penge mellem egne konti.

Nykredit Bank har til støtte for afvisningspåstanden anført, at der er uenighed mellem klageren og banken om hændelsesforløbet, og at en afgørelse af sagen vil kræve en bevisførelse i form af parts- og vidneafhøringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene.

Banken har til støtte for frifindelsespåstanden anført, at klageren selv har autoriseret korttransaktionerne. Der blev sendt SMS-engangskoder til klagerens telefonnummer, og transaktionerne blev i forlængelse heraf gennemført ved anvendelse af kortoplysningerne og 3D Secure.

Det må lægges til grund, at klageren den 22. maj 2018 var i besiddelse af sin mobiltelefon, som både blev anvendt til at godkende kontooverførslerne fra hendes opsparing til konto -373 samt til at godkende de enkelte korttransaktioner med de fremsendte SMS-engangskoder.

Spørgsmålet om, hvilken type mobiltelefon klageren har anvendt, er afdækket, idet bankens edb-central anvender betegnelsen iPhone 8.1 for en iPhone 6s.

Banken har endvidere fremlagt materiale, der viser, at klageren både før og efter de omtvistede transaktioner ofte tilgik sin mobilbank fra den IP-adresse, som blev anvendt til overførslerne den 22. maj 2018.

Banken har ikke kunnet få bekræftet, at sikkerhedsløsningen 3D Secure, som anført af klageren, mange gange skulle have været udsat for hacking.

Klagerens indsigelse om hacking af hendes Apple-id/iPhone må ligeledes anses for udokumenteret.

Ankenævnets bemærkninger

Ankenævnet finder det godtgjort, at de fire omtvistede betalinger med klagerens betalingskort svarende til i alt 20.894,54 DKK skete ved brug af kortnummeret og den trecifrede kode, samt ved brug af Nets sikkerhedsløsning 3D Secure, og at der blev sendt SMS-engangskoder til klagerens telefonnummer umiddelbart forinden gennemførelsen af transaktionerne.

I tidsmæssig sammenhæng med de omstridte betalingstransaktioner har klageren via sin mobilbank overført henholdsvis 6.200 kr. og 10.000 kr. fra sin opsparingskonto til konto -373.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Klageren har anført, at hun ikke har foretaget eller godkendt betalingerne, og at hun ikke har modtaget nogen SMS-engangskoder. Banken har bestridt dette.

Afgørelsen af, om klageren hæfter for betalingerne beror på, om der må antages at være tale om tredjemandsmisbrug. Ankenævnet finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

 Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.