Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagsnummer: 104/2022
Dato: 20-10-2022
Ankenævn: Bo Østergaard, Inge Kramer, Karin Sønderbæk, Tina Thyge-sen, Finn Borgquist.
Klageemne: Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst: Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.
Indklagede: Jyske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagens omstændigheder

Klageren var kunde i Jyske Bank, hvor han havde en konto med et Visa/dankort.

Den 22. februar 2022 modtog klageren en sms, hvoraf det fremgik:

”Din sidste regning er blevet betalt to gange Vi inviterer dig til at anmode om en refusion ved at klikke på nedenstående link: …”

Ved klik på linket fremkom en faktura, der fremstod som værende fra et elselskab, og som indeholdt følgende:

”DIN TILBAGEBETALING Vi refunderer dig 1060 DKK”

Klageren har oplyst, at han indtastede sine kortoplysninger i forbindelse med sms’en.

Den 22. februar 2022 blev klagerens kort anvendt til en betaling til en betalingsmodtager, F, på 8.121 kr., som klageren ikke kan vedkende sig. Den samme dag kontaktede klageren banken telefonisk og fik spærret kortet.

Banken har oplyst, at betalingen med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp. Følgende tekst blev sendt til klagerens NemId-nøgleapp:

”Betal 8121,00 DKK til [F] fra kort xxx990”

Banken har oplyst, at betalingen blev korrekt registreret og bogført, og at den ikke var ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.

Banken har fremlagt en log fra Nets’ NemID portal, hvoraf fremgår, at NemID-nøgleapp’en, som blev benyttet til godkendelsen, var aktiveret den 17. juni 2018.

Betalingen blev bogført på klagerens konto den 24. februar 2022. Den samme dag indgav klageren indsigelse mod transaktionen over for banken og anførte blandt andet:

”sms fra [”elselskabet”] ville tilbagebetale mig 1.060 kr. Jeg var naiv og gav dem mine kort info”

Klageren anmeldte endvidere sagen til politiet.

Banken godtgjorde klageren 121 kr., svarende til det betalte beløb fratrukket 8.000 kr.

Banken har fremlagt sine ”Dankort og Visa/Dankort, kortbestemmelser”, hvoraf det blandt andet fremgår:

”… 3.1 Betaling

Inden du godkender en betaling eller en hævning, skal du altid sikre dig, at beløbet er korrekt. Betalinger, som du har godkendt, kan ikke tilbagekaldes. Se dog afsnit 7 og 8 vedrørende muligheden for tilbageførsel af en betaling. …”

Parternes påstande

Den 17. marts 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal betale de resterende 8.000 kr.

Jyske Bank har nedlagt påstand om principalt frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hans kort blev misbrugt af en svindler, der udgav sig for at være fra elselskabet. Han blev berøvet sine kortoplysninger for et beløb på 8.121 kr. Han oplyste kortoplysningerne i god tro, så elselskabet kunne refundere 1.060 kr. til ham.

Han ringede øjeblikkeligt til banken, fik spærret kortet og forklarede forløbet.

Jyske Bank har til støtte for frifindelsespåstanden blandt andet anført, at klageren fulgte et link via en falsk sms-besked. Klageren indtastede sine kortoplysninger og godkendte betalingen med en NemID-nøgleapp, der var installeret i 2018. Det lægges således til grund, at klageren selv godkendte betalingen i sin NemID-nøgleapp.

Det fremgår af Nets’ portal sammenholdt med udskrift fra klagerens konto, at betalingen blev korrekt registreret og bogført, og at den ikke var ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Klagerens NemID var en personlig sikkerhedsforanstaltning. Ved transaktionen blev der anvendt stærk kundeautentifikation.

Klageren har oplyst, at han modtog en sms fra elselskabet, hvoraf det fremgik, at han skulle have 1.060 kr. tilbage. Sms-beskeden angav ikke, hvem afsenderen var, men klageren valgte desuagtet at klikke på linket i sms’en. Siden, som linket førte klageren til, angav heller ikke, hvorfra beløbet skulle komme, ud over en tekst i bunden af siden med navnet på et elselskab.

Klageren havde således en forventning om, at han skulle modtage et refusionsbeløb på 1.060 kr., men godkendte og gennemførte en betaling på 8.121 kr. Dette burde have skærpet klagerens opmærksomhed. Klageren befandt sig ikke i en presset situation som ved telefonisk phishing.

I godkendelsesflowet modtog klageren et oversigtsbillede i NemID-nøgleappen, hvori beløbets størrelse og betalingsmodtager fremgik. Havde klageren læst detaljerne for betalingen, ville han være blevet opmærksom på, at han var i færd med at gennemføre en betaling på 8.121 kr., som ikke var til elselskabet, men til F. Klageren har dermed ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse og hæfter for 8.000 kr. af tabet. Dertil kommer, at sms’en var uprofessionelt formuleret.

Banken havde ikke mulighed for at stoppe betalingen. Det følger af betalingsloven § 111, stk. 1, at banken ikke kan tilbagekalde en betaling efter, at instruksen om betalingen er modtaget af banken. Betalingen blev godkendt, da den blev gennemført med NemID. Den kunne derfor ikke tilbagekaldes, selvom den ikke var trukket fra kontoen på det tidspunkt, hvor klageren henvendte sig til banken.

Det fremgår endvidere af kortbestemmelserne for klagerens Visa/dankort, pkt. 3.1, at betalinger, som kunden har godkendt, ikke kan tilbagekaldes. Afsnit 7 og 8 i kortbestemmelserne vedrører kundens ret til at gøre indsigelse mod en betaling, der er gennemført, og giver ikke ret til at få annulleret en godkendt betaling, hvor beløbet endnu ikke er trukket på kontoen.

Jyske Bank har til støtte for afvisningspåstanden anført, at der er en sådan usikkerhed om det faktisk passerede, herunder hvilke betalingsoplysninger, som klageren fik vist i betalingsflowet, at en afgørelse forudsætter en bevisvurdering i form af parts- og vidneforklaringer, som ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Sagen bør derfor afvises i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets bemærkninger

Den 22. februar 2022 blev klagerens kort anvendt til en betaling til en betalingsmodtager, F, på 8.121 kr., som klageren ikke kan vedkende sig. Den samme dag kontaktede klageren banken telefonisk og fik spærret kortet.

Klageren havde den samme dag modtaget en sms om refusion af en betaling, med en tilhørende faktura, der så ud til at være fra et elselskab. Klageren har oplyst, at han indtastede sine kortoplysninger i forbindelse med sms’en. Banken har anført, at klageren godkendte transaktionen i sin NemID-nøgleapp.

Klageren gjorde indsigelse mod transaktionen over for banken, der godtgjorde klageren 121 kr., svarende til det betalte beløb fratrukket 8.000 kr.

Den omtvistede betaling med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet finder, at det som anført af banken må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Bo Østergaard, Inge Kramer og Karin Sønderbæk – udtaler:

Vi lægger til grund, at klageren må have godkendt betalingen på 8.121 kr. i sin NemID-nøgleapp.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i NemID-nøgleappen, hvor han fik oplysninger om beløbet på 8.121 kr. og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer –  Tina Thygesen og Finn Borgquist – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr., jf.  betalingslovens § 100, stk. 3.  

Vi stemmer derfor for, at banken skal tilbageføre 7.625 kr. til klageren.  

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.