Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i NemID-nøgleapp.

Sagsnummer: 479/2022
Dato: 23-06-2023
Ankenævn: Henrik Waaben, Inge Kramer, Kritte Sand Nielsen, Tina Thygesen og Kim Korup Eriksen.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i NemID-nøgleapp.
Indklagede: Nykredit Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i NemID-nøgleapp.

Sagens omstændigheder

Klageren var kunde i Nykredit Bank, hvor hun og hendes ægtefælle havde en fælleskonto, hvortil klageren blandt andet havde tilknyttet et individuelt betalingskort.

Den 12. oktober 2022 blev klagerens betalingskort anvendt til betaling til en udenlandsk betalingsmodtager, F, på 2.810 EUR, som klageren ikke kan vedkende sig.

Om baggrunden for transaktionen har klageren oplyst, at hun den 12. oktober 2022 modtog en SMS, der fremstod som om, at den kom fra Apple, hvoraf fremgik, at hendes betalingskort til ApplePay var blevet afvist. Det fremgik af SMS’en, at hun skulle klikke på et link, hvilket hun gjorde. Hun blev ført videre og skulle oplyse NemID og kortnummer, hvilket hun gjorde. Det var vanskeligt at se de tal, der fremkom, og hun så et beløb på 2,81 EUR. SMS’en er ikke fremlagt i sagen.

Banken har oplyst, at det fremgår af en udskrift fra Nets, at klageren fik præsenteret følgende tekst i sin NemID-nøgleapp:

”Betal 2810,00 EUR til [F] fra kort xx1657”

Banken har fremlagt en oversigt over godkendte 3D Secure overførsler og en udskrift af klagerens NemID-log og har oplyst, at det fremgår heraf, at kortbetalingen blev godkendt med sikkerhedsløsningen 3D Secure ved godkendelse i klagerens NemID-nøgleapp den 12. oktober 2022 kl. 16:25.

Samme dag ca. to timer senere kontaktede klageren banken og spærrede sit betalingskort.

Af den af banken fremlagte oversigt over godkendte 3D Secure overførsler og en udskrift af klagerens NemID-log fremgår endvidere, at der den 12. oktober 2022 kl. 16:27 og kl. 18:08 blev afvist to transaktioner på henholdsvis 2.810 EUR og 21.000 CZK i klagerens NemID-nøgleapp.

Den 13. oktober 2022 gjorde klageren over for banken indsigelse mod betalingen. Hun oplyste, at hun ligeledes havde indgivet politianmeldelse.

Den 14. oktober 2022 blev der trukket 21.115,72 DKK på klagerens konto.

I første omgang tilbageførte banken betalingen til klageren, men efter at have foretaget en nærmere undersøgelse af sagen, oplyste banken, at den ville godtgøre klagerens tab fratrukket 8.000 DKK svarende til 13.115,72 DKK.

I en mail af 28. oktober 2022 til banken gjorde klageren og hendes ægtefælle indsigelse mod bankens afgørelse og anførte blandt andet:

”Onsdag den 12.10. får min hustru, [klageren], en sms, hvor af det fremgår, at hendes betalingskort til APPLE Pay er afvist. SMSen henvendt personligt til hende, med hendes navn på.

Min hustru abonnerer på en app, DUOLINGO, hvor hun deltager i forskellige sprogkurser. App’en betales årligt via automatisk korttræk medio oktober måned.

[Klageren] har, siden hun sidst betalte, fået nyt betalingskort.

Det fremgår af SMSen, at hun skal klikke på et link, hvilket hun gør. Hun føres videre og skal oplyse NEM-ID og kortnummer, hvilket hun gør. Handlingerne foretages på en Iphone, og det er vanskeligt at se de tal, der fremkommer, men hun læser noget med 2.81 euro.

Umiddelbart derefter bliver [klageren] usikker på handlingen.

Hun tager sin Ipad og går proceduren igennem igen. Hun ser nu tydeligt, at beløbet fremstår med 2.810 Euro, og hun afviser at gennemføre betalingen.

Kl. 18.00 kommer undertegnede hjem, og min hustru viser mig linket med videre. Vi udfører igen handlingen. Nu fremstår beløbet med 21000 CZK. Vi afviser naturligvis handlingen.

Umiddelbart herefter kontaktes banken. Vi anmoder om at betalingen stoppes, samt at [klagerens] betalingskort spærres.

…”

Banken fastholdt, at klageren selv hæfter for 8.000 DKK.

Parternes påstande

Den 15. november 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Nykredit Bank skal godtgøre hende hele transaktionen og dermed tilbagebetale 8.000 DKK til hende.

Nykredit Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun ikke hæfter for transaktionen, idet hun ikke har handlet groft uforsvarligt.

Hun var i god tro, da hun abonnerer på DUOLINGO, som er et sprogkursus, der trækker penge på hendes betalingskort midt i oktober måned. Hun var derfor overbevist om, at det i SMS’en anførte var korrekt.

Hun er enig i, at hun foretog transaktionen med sin iPhone, men det fulde beløb fremgik ikke på iPhonen. Hun så et beløb på 2,81 EUR på displayet. Hun gennemførte transaktionen, fordi hun troede, at det drejede sig om under 20 DKK som betaling for fornyelse af hendes kortoplysninger til Apple om hendes Googlekonto. Hun blev derefter alligevel usikker på, hvilken banktransaktion hun havde gennemført.

Hun gennemgik transaktionen igen med et kraftigere lys og så nu tydeligt, at der stod 2.810 EUR, og hun afviste derfor betalingen.

Hendes mand kom hjem, og hun viste ham forløbet med transaktionen. De så nu begge, at der fremstod et beløb på 21.000 ZCK, som de straks afviste. De blev herefter klar over, at hun kunne være blevet bedraget.

Banken henviser til, at hun har godkendt transaktionen. Det er korrekt, men som hun har påpeget, fremstod beløbet som 2,81 EUR på displayet på iPhonen, hvorfor hun ikke umiddelbart var i tvivl om, at det var en troværdig henvendelse. Det er derfor uberettiget at kalde hendes handling for groft uforsvarlig. Hun ville naturligvis ikke godkende en betaling på et beløb på 2.810 EUR, hvis det havde fremstået tydeligt.

I Den Store Danske Encyklopædi defineres en groft uforsvarlig handlemåde som:  ”en adfærd som kan karakteriseres som sløseri, der er præget af ligegyldighed”. Hun kan ikke se, at hendes adfærd har været i denne kategori.

Ankenævnet har i en tidligere afgørelse udtalt, at der i lovens forarbejder er gjort opmærksom på, at det udvidede ansvar kun vil gøre sig gældende i et fåtal af tilfælde.

Nykredit Bank har anført, at det ved klagerens godkendelse af betalingen den 12. oktober 2022 fremgik af NemID-nøgleappen, at betalingsmodtageren var F, samt at beløbet var 2.810 EUR.

Den fremlagte udskrift af klagerens NemID-log samt oversigten over godkendte 3D overførsler bekræfter, at betalingen blev godkendt med stærk kundeautentifikation i form af NemID, og at det var klageren selv, der foretog godkendelsen via sin egen NemID-nøgleapp.

At det var klageren selv, der foretog godkendelsen, bekræftes endvidere af klagerens egen forklaring, hvoraf det fremgår, at hun selv foretog godkendelsen, uden tydeligt at kunne se, hvad der stod på hendes telefon. På trods heraf valgte klageren alligevel at swipe og godkende overførslen.

Klageren burde nøje have undersøgt modtager samt betalingsbeløb inden godkendelse blev foretaget med NemID-nøgleapp. Havde klageren udvist den fornødne agtpågivenhed, som der berettiget forventes af bankens kunder i sådanne situationer, havde den uberettigede anvendelse været forhindret.

At klageren har handlet groft uforsvarligt i betalingslovens forstand underbygges desuden af, at hun ikke befandt sig i en presset situation svarende til for eksempel den situation, hvor misbruget sker i forbindelse med telefonisk kontakt. Klageren havde derfor gode muligheder for grundigt at læse den tekst, der fremgik i forbindelse med transaktionen, og i øvrigt at undersøge baggrunden for den modtagne SMS. Denne vurdering er i øvrigt i overensstemmelse med den nuværende praksis ved Ankenævnet.

Klageren har således udvist groft uforsvarlig adfærd ved at muliggøre den uberettigede anvendelse, hvorfor hun hæfter for 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.

Banken har godtgjort klageren den del af tabet, som den var forpligtet til, ved at overføre 13.115,72 DKK til klagerens konto.

Ankenævnets bemærkninger

Klageren har gjort indsigelse mod en transaktion på 2.810 EUR.

Om baggrunden for transaktionen har klageren oplyst, at hun den 12. oktober 2022 modtog en SMS, der fremstod som om, at den kom fra Apple, hvoraf fremgik, at hendes betalingskort til ApplePay var blevet afvist. Det fremgik af SMS’en, at hun skulle klikke på et link, hvilket hun gjorde. Hun blev ført videre og skulle oplyse NemID og kortnummer, hvilket hun gjorde. Det var vanskeligt at se de tal, der fremkom, og hun så et beløb på 2,81 EUR.

Klageren har oplyst, at hun herefter godkendte en betaling på 2,81 EUR med NemID.

Banken har oplyst, at den omtvistede betaling med klagerens betalingskort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i klagerens NemID-nøgleapp. Af en udskrift fra Nets fremgår, at følgende tekst blev sendt til klagerens NemID-nøgleapp: ”Betal 2810,00 EUR til [F] fra kort xx1657”.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Klageren har anført, at hun ikke godkendte betalingen af 2.810 EUR til F.

Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.

Ankenævnet finder endvidere, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.

Efter lov om betalinger § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Henrik Waaben, Inge Kramer og Kritte Sand Nilsen – udtaler:

Vi finder det godtgjort, at klageren har godkendt betalingen på 2.810 EUR i sin Nem- ID-nøgleapp. Vi har herved lagt vægt på den udskrift fra Nets, der er indhentet.

Vi finder derfor, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i NemID-nøgleappen, hvor hun fik oplysninger om beløbet på 2.810 EUR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Tina Thygesen og Kim Korup Eriksen – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet på 21.115,72 DKK, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, banken skal tilbageføre 7.625 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.