| Sagsnummer: | 211/2022 |
| Dato: | 15-02-2023 |
| Ankenævn: | Bo Østergaard, Jonas Thestrup Nielsen, Karin Duerlund, Tina Thygesen og Poul Erik Jensen. |
| Klageemne: | Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger Afvisning - bevis § 5, stk. 3, nr. 4 |
| Ledetekst: | Indsigelse mod korttransaktion, der blev gennemført som en 3D Secure betaling ved godkendelse i NemID-nøgleapp. |
| Indklagede: | Totalbanken |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod en korttransaktion, der blev gennemført som en 3D Secure betaling ved godkendelse i NemID-nøgleapp.
Sagens omstændigheder
Klageren var kunde i Totalbanken, hvor han havde en konto nr. -789 med et tilhørende Visa/dankort.
Den 16. januar 2022 kl. 15.09 blev klagerens kort anvendt til en betaling til en udenlandsk betalingsmodtager, F, på 2.486,97 EUR (18.790,33 DKK), som klageren ikke kan vedkende sig.
Banken har oplyst, at betalingen med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp. Det fremgår af en udskrift fra Nets’ systemer, at følgende tekst blev sendt til klagerens NemID-nøgleapp:
”Betal 2486,97 EUR til [F] fra kort xx6155”
Det fremgår yderligere af udskriften fra Nets’ systemer, at klagerens kort den 16. januar 2022 kl. 15.11 blev søgt anvendt til en yderligere transaktion til F på 2.486,97 EUR, men at denne betaling blev registreret afvist med teksten ”Afvist-Over.Max.Beløb”. Det fremgår endvidere af udskriften, at den ikke-vedkendte transaktion og den ikke gennemførte transaktion blev accepteret fra en IP-adresse -183 i Marokko.
Banken har oplyst, at betalingen blev korrekt registreret og bogført, og at den ikke var ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.
Af en hændelseslog for klagerens NemID fremgår, at der den 16. januar 2022 henholdsvis kl. 15:06, 15:09, 15:11 og 21:18 blev accepteret fire transaktioner fra NemID-nøgleapp, serie nr. -019 fra tre forskellige IP-adresser. De to transaktioner kl. 15:09 og 15:11 blev accepteret fra en IP-adresse -183 i Marokko, mens de to øvrige transaktioner blev accepteret på to forskellige IP-adresser i Danmark. Klageren har anført, at han ikke godkendte nogen transaktion den 16. januar 2022. Af NemID hændelsesloggen fremgår endvidere, at der den 16. januar 2022 kl. 15:09 automatisk blev accepteret ny hardware.
Den ikke-vedkendte transaktion på 2.486,97 EUR (18.790,33 DKK) blev debiteret klagerens konto nr. -789 den 18. januar 2022. Af en kontoudskrift for konto nr. -789 fremgår, at der endvidere blev foretaget en MobilePay betaling på 300 DKK fra kontoen den 16. januar 2022, men at der derudover ikke blev debiteret transaktioner på kontoen i perioden fra den 16. til den 31. januar 2022.
Den 22. januar 2022 gjorde klageren indsigelse mod transaktionen på 2.486,97 EUR (18.790,33 DKK) over for banken. Klageren anførte, at nogen havde stjålet hans kortoplysninger, at kun han havde adgang til kortet, og at han ikke var blevet kontaktet og bedt om at bekræfte sine kortoplysninger eller sine personlige oplysninger. Banken afviste indsigelsen. Klageren fastholdt indsigelsen. Den 11. april 2022 fastholdt banken afvisningen af indsigelsen og anførte blandt andet:
”… Den IP adresse vi kan se på din NemID log i forbindelse med transaktionen, -183, som hører til i Marokko, har vi med hjælp fra Nets og BEC fået klarhed over hvad betyder. IP adressen betyder at den person som har bestilt noget på [F’s] hjemmeside, har været logget på et netværk hjemmehørende i Marokko.
Den tekst som er fremsendt via 3C secure-løsningen til din NemID app er ”Betal 2486,97 EUR til [F] fra kort xx6155”. Denne transaktion bliver godkendt kl 15:09 den 16/01/2022 med NemID appen med serienummeret -019, som er installeret på din Iphone. …”
Klageren anmeldte endvidere sagen til politiet.
Banken har fremlagt sine Regler for Visa/Dankort, hvoraf det bl.a. fremgår:
” … 10. Dit ansvar ved misbrug af dit Visa/Dankort
…
10.2 Hæftelse og selvrisiko
… Du skal dække tab op til 8.000 kr. i tilfælde af, at dit Visa/Dankort har været misbrugt af en anden person og der i den forbindelse er anvendt personlig sikkerhedsforanstaltning, og …
10.3 Hæftelse for fuldt tab
Du hæfter for det fulde tab, hvis din personlige sikkerhedsforanstaltning har været anvendt i forbindelse med misbruget under følgende betingelser:
Du hæfter endvidere for det fulde tab, hvis du har handlet svigagtigt eller med forsæt har undladt at opfylde dine forpligtelser i henhold til reglerne, herunder at opbevare kortet eller mobiltelefonen forsvarligt, at beskytte sikkerhedsforanstaltningen, jf. afsnit 4, eller at spærre kortet, jf. afsnit 9. …”
Parternes påstande
Den 26. maj 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Totalbanken skal tilbageføre den ikke-vedkendte transaktion.
Totalbanken har nedlagt påstand om frifindelse, subsidiært at klageren hæfter for 8.000 DKK.
Parternes argumenter
Klageren har anført, at hans kort blev misbrugt. Han har ikke godkendt transaktionen. Han har hverken udleveret kortoplysninger eller NemID-oplysninger til nogen.
Banken afviste hans indsigelse med begrundelsen, at der var 3D secure godkendelse ved købet, og at han ikke havde delt sine oplysninger med andre, hvorfor han må være ansvarlig for købet.
Banken har i sit svar i klagesagen anført, at personen, som godkendte transaktionen, skulle være i besiddelse af hans kreditkort-oplysninger, herunder kortnummer, kontrolcifre mv. samt NemID eller nøgleapp. Dette er ikke muligt. Den 16. januar 2022 lå han syg med corona på sit værelse. Hans kortoplysninger og NemID-kort lå i hans taske, og han var i besiddelse af sin mobiltelefon. Han har ikke videregivet sine kortoplysninger, herunder kortnummer, kontrolcifre mv., og han godkendte ikke nogen transaktioner den 16. januar 2022.
Bankens argumentation er uforståelig. Selvom han har været omhyggelig og ikke været uansvarlig med sit kort, kan han godt have været udsat for misbrug. Han har netop anført i indsigelsen, at han ikke har foretaget købet, og at nogen må have stjålet hans oplysninger.
Ifølge banken har der været forskellige kontakter med hans kort fra IP-adresser i både Fredericia, København og Marokko den 16. januar 2022, mens han befandt sig på Midtfyn. Banken har anført, at personen ikke behøvede at opholde sig i Marokko, hvis personen gjorde brug af VPN-service. Han benyttede ikke VPN-service denne dag, og han benytter heller ikke i dag VPN-service.
Han forstår ikke, at banken ikke reagerede, når hans konto blev tømt ved et køb fra udlandet, og når der blev brugt en IP-adresse fra Marokko. Der var tale om et usædvanligt og stort køb for en 18-årig kunde. Banken burde have reageret ved f.eks. at anmode om en yderligere godkendelse af købet og kontakte ham på telefon eller digital post. Banken har pådraget sig et ansvar ved den manglende reaktion.
Han fandt ud af, at F er en spansk virksomhed. Han kontaktede F uden held.
Der er en række mystiske forhold i forbindelse med købet, som banken ikke har undersøgt nærmere. Bankens afvisning af indsigelsen var ikke berettiget.
Totalbanken har anført, at betalingen blev godkendt med 3D Secure den 16. januar 2022 kl. 15:09 ved brug af NemID-nøgleappen med serie nr. -019, som var installeret på klagerens iPhone.
For at kunne gennemføre et køb på en udenlandsk hjemmeside skal man være i besiddelse af kortoplysninger (kortnummer, kortholders navn, kortets udløbsdato og sikkerhedskode), NemID (Brugerid og adgangskode) samt et device med NemID -nøgleapp, f.eks. mobiltelefon eller tablet. Dette device vil normalt være beskyttet af en adgangskode, som i mange tilfælde er biometrisk, f.eks. fingeraftryk. Adgang til NemID-nøgleappen på det pågældende device, er også beskyttet af en adgangskode, som kan være biometrisk, f.eks. fingeraftryk.
Kortets oplysninger kunne måske have været kopieret. For at godkende transaktionen skulle man imidlertid have adgang til NemID-nøgleappen, som var installeret på klagerens mobiltelefon. Man skulle først åbne klagerens mobiltelefon med den kode, der skal til for at åbne mobiltelefonen. Derefter skulle man åbne NemID-nøgleappen med den kode, der skulle til at åbne NemID-nøgleappen. Derefter blev personen, som åbnede nøgleappen, præsenteret for teksten ”Betal 2.486,97 EUR til [F] fra kort xx6155””.
Klageren har forklaret, at han havde mobiltelefonen ved sig hele dagen, da han var hjemme med corona. Dette kan kun betyde, at klageren selv godkendte transaktionen. Derfor gav banken afslag på indsigelsen.
Den ikke-vedkendte transaktion blev umiddelbart foretaget på en IP-adresse -183 i Marokko. IP-adressen er ikke ensbetydende med, at man er i landet. Det er muligt ved hjælp af en VPN service at bruge f.eks. en marokkansk IP-adresse, selv om man befinder sig i Danmark. Ændring af VPN er almindelig brugt, f.eks. hvis man ønsker at se udenlandske TV programmer, som ikke udbydes i Danmark. Banken har således ikke oplyst, at brugeren af kortet opholdt sig i Marokko.
Klagerens personlige sikkerhedsforanstaltning blev anvendt ved købet, idet klageren selv brugte sikkerhedsforanstaltningen, som muliggjorde misbruget af klagerens kort, og klageren burde have indset, at der var risiko for misbrug. Banken nedlægger derfor principalt påstand om frifindelse, idet klageren hæfter for det fulde tab, jf. brugerreglernes punkt 10.3.
Klageren undrer sig over, at banken ikke reagerede på så stort et køb i udlandet, ligesom klageren ikke forstår, at han ikke blev kontaktet om købet, og at banken ikke reagerede på en udenlandsk IP-adresse. Klageren blev jo netop kontaktet om - og godkendte - købet med teksten ”Betal 2.486,97 EUR til [F] fra kort xx6155” i NemID-nøgleappen.
Subsidiært nedlægger banken påstand om, at klageren hæfter for 8.000 DKK, da klagerens personlige sikkerhedsforanstaltning er anvendt, og klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. brugerreglernes punkt 10.2.
Ankenævnets bemærkninger
Klageren var kunde i Totalbanken, hvor han havde en konto med et tilhørende Visa/dankort.
Den 16. januar 2022 kl. 15.09 blev klagerens kort anvendt til en betaling til en udenlandsk betalingsmodtager, F, på 2.486,97 EUR (18.790,33 DKK), som klageren ikke kan vedkende sig.
Banken har oplyst, at den omtvistede transaktion blev godkendt med klagerens NemID-nøgleapp, serie nr. -019. Transaktionen blev foretaget fra en IP-adresse i Marokko. Samme dag kl.15.11 blev der fra samme IP-adresse i Marokko søgt gennemført en yderligere betaling med klagerens kort til F på 2.486,97 EUR, som blev afvist, da den var over maksimumbeløbet.
Klageren gjorde indsigelse mod den gennemførte transaktion over for banken, der afviste indsigelsen.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bog-ført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter be-stemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautenti-fikation, jf. betalingslovens § 7, nr. 30.
Klageren har oplyst, at han har ikke videregivet sine kortoplysninger. Klageren har anført, at han ikke godkendte transaktionen. Banken har anført, at klageren hæfter for det fulde tab i medfør af pkt. 10.3 i bankens regler for Visa/dankort.
Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger et misbrug, herunder om der er tale om misbrug under sådanne omstændigheder, at klageren hæfter helt eller delvist for tabet, jf. betalingslovens § 100, stk. 4 eller stk. 5. Ankenævnet finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.