Indsigelse mod at hæfte for 8.000 kr. af korttransaktioner gennemført med 3D Secure ved godkendelse med SMS-bekræftelseskoder og password.

Sagsnummer:359/2023
Dato:07-05-2024
Ankenævn:Bo Østergaard, Klaus Tougaard Kristensen, Mette Lindekvist Højsgaard, Rolf Høymann Olsen og Poul Erik Jensen.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod at hæfte for 8.000 kr. af korttransaktioner gennemført med 3D Secure ved godkendelse med SMS-bekræftelseskoder og password.
Indklagede:Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse vedrørende hæftelse for 8.000 kr. af korttransaktioner gennemført med 3D Secure ved godkendelse med SMS-bekræftelseskoder og password.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor han havde en konto med et tilhørende Visa/Dankort -727.

Den 27. februar 2023 blev der med klagerens betalingskort -727 foretaget to betalinger på hver 9.500 kr., til en betalingsmodtager, M, hvorefter klageren fik udstedt et nyt betalingskort -534.

Den 10. marts 2023 blev der med betalingskort -534 foretaget en betaling på 9.500 kr. til en betalingsmodtager, M.

Klageren kan ikke vedkende sig betalingerne.

Klageren har oplyst, at han i marts blev kontaktet af en broker, P, som foregav at være behjælpelig med inddrivelse af bedrageri-penge i crypto-systemet. Da P fik adgang til hans skærm, lykkedes det P at få ham til at godkende en gang, hvorefter han er overbevist om, at P repeterede uden hans accept.

Banken har oplyst, at betalingerne blev gennemført med 3D Secure.

Banken har fremlagt Processing Details, hvoraf det blandt andet fremgår, at ”Authentication Method” var ”SMS + Password”, og at indholdet af SMS-beskederne var følgende:

”Godkend dit køb på 9500,00 DKK hos [M] med engangskode: xxxxxx. Købet trækkes på kortnr. xx5727”, og

”Godkend dit køb på 9500,00 DKK hos [M] med engangskode: xxxxxx. Købet trækkes på kortnr. xx9534”.

Banken har endvidere fremlagt Perfomance Details, hvoraf det blandt andet fremgår, at der den 10. marts 2023 kl. 16:09 ved operation ”MitIDSignaturgruppen#validate” var ”FAILURE”.

Klageren gjorde den 6. marts og den 27. april 2023 indsigelse over for banken. Af indsigelsesblanketterne fremgår blandt andet, at han ikke havde foretaget de pågældende transaktioner, og at han var i besiddelse af sit betalingskort på tidspunktet for de ikke-godkendte transaktioner.

I en e-mail af 10. maj 2023 skrev klageren til banken:

”Jeg har lige sendt mail omkring det faktum At den ikke er godkendt med sms og kode Godt nok sender I sms til min telefon men Jeg skal fysisk aktivere koden ved at taste Den ind og give min godkendelse. Dette er ikke Sket I dette pop up vindue. Lad mig nu høre på alle træk hvoraf jeg er Overbevist at jeg ikke har godkendt i hvert fald De sidste 2 træk.”.

Banken godtgjorde klagerens tab fratrukket to gange 8.000 kr.

Parternes påstande

Den 22. juni 2023 har klageren indbragt sagen for Ankenævnet, som forstår klagerens påstand således, at Danske Bank skal tilbagebetale ham 12.000 kr.

Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at banken har udbetalt pengene trods manglende godkendelse gennem Nets med SMS og kode, hvor kun en betaling er godkendt.

Den tredje betaling fandt sted uden godkendelse, og banken sendte en SMS om at godkende, hvilket ikke skete.

Banken har fratrukket to gange 8.000 kr. på trods af, at den anden betaling synes at være samme betalingsrække uden pop up-godkendelse.

Banken skulle sikre bevis for pop up-godkendelse, da han under hjælpen fra P nægtede at godkende gentagne gange, da han var vildledt til køb.

Banken har et ansvar for udbetalingerne, da de er foretaget uden balance og til en lukket konto for Bitcoin.

Han godkendte ikke med SMS eller kode.

Banken har uretmæssigt udbetalt pengene grundet manglende saldo og godkendelse efter egne SMS’er.

Han har anerkendt at hæfte for halvdelen af 8.000 kr. i forbindelse med betalingerne den 27. februar 2023, hvor ansvaret var fælles.

Danske Bank har til støtte for frifindelsespåstanden anført, at banken allerede har godtgjort klageren den del af beløbet, der overstiger to gange 8.000 kr., dvs. 11.000 kr. og 1.500 kr., og at klageren via phishing er kommet til at foretage og godkende betalingerne selv, hvorfor forholdet er omfattet af betalingslovens § 100, stk. 4 omhandlende klagerens egen hæftelse på 8.000 kr.

Betalingerne blev godkendt med password og SMS-bekræftelseskoder, som blev sendt til klagerens telefonnummer, hvormed betalingerne blev korrekt godkendt med stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Betalingerne blev godkendt via klagerens mobiltelefon, og det fremgik klart og tydeligt i de modtagne SMS’er, at betalingsmodtageren var M, og at beløbene var 9.500 kr., ved hver af betalingerne.

Det måtte være klart for klageren, at han var ved at foretage betalinger på hver 9.500 kr. til M, og at han derfor ikke var ved at godkende returneringer af beløbene.

Betalingerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Klageren kom selv til at godkende betalingerne, og han burde have læst teksten i forbindelse med godkendelserne, og dermed have undladt at godkende betalingerne.

Klageren har bekræftet, at han selv godkendte betalingerne, der blev foretaget den 27. februar og 10. marts 2023, og har foreslået, at han og banken skal ”dele selvrisikoen” på 8.000 kr., hvilket banken har afvist.

Såfremt klageren havde udvist en større grad af forsigtighed, f.eks. ved at læse teksten i godkendelsesbeskederne, havde betalingerne været forhindret, og klageren muliggjorde således ved groft uforsvarlig adfærd betalingerne, hvorfor han bør hæfte med 8.000 kr. for betalingerne, jf. betalingslovens § 100, stk. 4.

Banken har i øvrigt ikke handlet ansvarspådragende.

Til støtte for afvisningspåstanden har banken anført, at det faktiske hændelsesforløb viser, at samtlige betalinger blev autoriseret med password og SMS-bekræftelseskoder, som blev sendt til klagerens telefon, ligesom klageren har bekræftet selv at have foretaget betalingerne.

En vurdering af sagen, vil kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. vedtægternes § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Danske Bank, hvor han havde konto med et tilhørende Vi-sa/Dankort -727.

Den 27. februar 2023 blev der med klagerens betalingskort -727 foretaget to betalin-ger på hver 9.500 kr., til en betalingsmodtager, M, hvorefter klageren fik udstedt et nyt betalingskort -534.

Den 10. marts 2023 blev der med betalingskort -534 foretaget en betaling på 9.500 kr. til en betalingsmodtager, M.

Klageren kan ikke vedkende sig betalingerne.

Klageren har oplyst, at han i marts blev kontaktet af en broker eller lignende, P, som foregav at være behjælpelig med inddrivelse af bedrageri-penge i crypto-systemet. Da P fik adgang til hans skærm, lykkedes det P at få ham til at godkende en gang, hvorefter han er overbevist om, at P repeterede uden hans accept.

Banken har oplyst, at betalingerne blev gennemført med 3D Secure og godkendt med SMS-bekræftelseskoder, som blev sendt klagerens telefon, og password.

Ankenævnet lægger til grund, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder endvidere, at klagerens SMS-bekræftelseskode og password er personlige sikkerhedsforanstaltninger, jf. lov om betalinger § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Vedrørende den del af klagen der omhandler den første korttransaktion på 9.500 kr. af den 27. februar 2023:

Tre medlemmer – Bo Østergaard, Klaus Tougaard Kristensen og Mette Lindekvist Højsgaard – udtaler:

Vi lægger, i overensstemmelse med det af klageren oplyste, til grund, at klageren godkendte den første transaktion på 9.500 kr.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han indtastede SMS-bekræftelseskode og password, og at klageren som følge heraf hæfter med op til 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i denne del af klagen.

To medlemmer – Rolf Høymann Olsen og Poul Erik Jensen – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr., jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, banken skal tilbageføre 7.625 kr. til klageren.

Sagen afgøres efter stemmeflertallet.

Vedrørende den del af klagen, der omhandler den anden og tredje korttransaktion på hver 9.500 kr. af henholdsvis den 27. februar 2023 og den 10. marts 2023:

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der er tale om misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 kr. af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Klageren får ikke medhold vedrørende den del af klagen, der omhandler den første korttransaktion på 9.500 kr. af den 27. februar 2023.

Ankenævnet kan ikke behandle den del af klageren, der omhandler den anden og tredje korttransaktion på 9.500 kr. hver af henholdsvis den 27. februar 2023 og den 10. marts 2023.