| Sagsnummer: | 131/2023 |
| Dato: | 06-09-2023 |
| Ankenævn: | Vibeke Rønne, Kritte Sand Nielsen, Mette Lindekvist Højs-gaard, Tina Thygesen og Lisbeth Baastrup Burgaard. |
| Klageemne: | Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af phishing SMS. |
| Indklagede: | Danske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af phishing SMS.
Sagens omstændigheder
Klageren var kunde i Danske Bank, hvor han havde et betalingskort nr. -24.
Den 18. december 2022 blev der foretaget en kortbetaling på 2.178 EUR svarende til 16.201,98 DKK med klagerens kort til en betalingsmodtager, L, som klageren ikke kan vedkende sig.
Klageren har oplyst, at baggrunden for betalingen var, at han ventede en pakke fra PostNord, og at han modtog en SMS, der fremstod som værende fra PostNord med en opkrævning på 16 DKK.
Banken har oplyst, at betalingen blev foretaget ved godkendelse i klagerens MitID-app, der var installeret på klagerens telefon. Banken har fremlagt en udskrift fra Nets med teksten, der blev sendt til klagerens MitID-app i forbindelse med godkendelse af betalingen. Af teksten fremgik:
”Betal 2178,00 EUR til [L] fra kort xx0024”
Banken har oplyst, at transaktionen var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.
Den 21. december 2022 indgav klageren indsigelse til banken.
Den 28. december 2022 godtgjorde banken klagerens tab fratrukket 8.000 DKK svarende til 8.201,98 DKK. Den 29. december 2022 klagede klageren til banken og anførte:
”Som beskrevet I min indsigelse har jeg være ret uheldig. Jeg har haft pakker til levering i julen med PostNord. I den forbindelse får jeg en SMS fra, hvad jeg tror, PostNord om opkrævning af kr. 16,00 som er udestående på en pakke til levering.
Da jeg, i god tro, betaler de kr. 16,00 viser det sig at der bliver trukket kr. 16,202 Jeg kontakter jer og får spærret kort inden pengene trækkes på min konto. Pengene trækkes et par dage efter hvorefter jeg gør indsigelse til jer.
Jeg er intetanende om at der ligger en forbrydelse bagved så derfor er jeg uenig i jeres afgørelse og beder jeg vurdere på ny.”
Banken fastholdt sin afgørelse.
Parternes påstande
Den 14. februar 2023 har klageren indbragt sagen for Ankenævnet. Ankenævnet har forstået påstanden således, at Danske Bank skal tilbageføre de resterende 8.000 DKK til ham.
Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at han havde pakker til levering i julen med PostNord. Han fik en SMS fra, hvad han troede var PostNord, om opkrævning af 16 DKK som udestående på en pakke til levering.
Da han i god tro betalte de 16 DKK, viste det sig, at der blev trukket 16.202 DKK. Inden trækning af beløbet kontaktede han banken og fik spærret kortet. Pengene blev trukket et par dage efter, hvorefter han gjorde indsigelse overfor banken.
Han var intetanende om, at der lå en forbrydelse bag. Hvis man bliver berøvet et beløb og ikke er bekendt med, at der står andre bag, må man være i god tro. Han føler sig uretmæssigt behandlet. Han forstår ikke de bagvedliggende intentioner om at beskytte borgerne mod tyveri.
Danske Bank har til støtte for frifindelsespåstanden anført, at klageren selv videregav sine kortoplysninger til tredjemand, der muliggjorde betalingsanmodningen.
Klageren har oplyst, at han selv godkendte betalingen med sit MitID-app. Betalingen blev godkendt med stærk kundeautentifikation.
Betalingen blev godkendt via klagerens MitID-app, hvori det klart og tydeligt fremgik, hvem betalingsmodtageren var, og at beløbet var 2.178 EUR. Klageren burde have læst teksten i forbindelse med godkendelsen og burde dermed have undladt at godkende betalingen. Hvis klageren havde udvist en større grad af forsigtighed, f.eks. ved at læse teksten i MitID-app’en og havde været mere skeptisk over for rigtigheden af SMS’en, herunder at PostNord ikke var stavet korrekt, så havde betalingen været forhindret.
Klageren muliggjorde således betalingen ved groft uforsvarlig adfærd, hvorfor klageren bør hæfte med 8.000 DKK selv, jf. betalingslovens § 100, stk. 4.
Danske Bank har til støtte for afvisningspåstanden anført, at en vurdering af sagen vil kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Den 18. december 2022 blev der foretaget en kortbetaling på 2.178 EUR svarende til 16.201,98 DKK med klagerens betalingskort til en betalingsmodtager, L, som klageren ikke kan vedkende sig.
Klageren har oplyst, at baggrunden for betalingen var, at han havde modtaget en SMS, der fremstod som værende fra PostNord med en opkrævning på 16 DKK. Klageren gjorde indsigelse mod transaktionen over for banken. Klageren oplyste, at han alene godkendte en betaling på 16 DKK. Banken godtgjorde klageren 8.201,98 DKK, svarende til det betalte beløb fratrukket 8.000 DKK.
Den omtvistede betaling med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i MitID-app.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).
Tre medlemmer – Vibeke Rønne, Kritte Sand Nielsen og Mette Lindekvist Højsgaard – udtaler:
Vi finder, at klageren har godkendt betalingen på 2.178 EUR med sit MitID. Vi finder det således godtgjort, at teksten i den besked, som klageren modtog i MitID-appen indeholder de oplysninger, som fremgår af udskriften fra Nets, og at klageren således modtog oplysning om beløb og betalingsmodtager.
Vi finder herefter, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID-appen, hvor han fik oplysninger om beløbet på 2.178 EUR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Tina Thygesen og Lisbeth Baastrup Burgaard – udtaler:
Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, hvor forbrugeren oplever, at beløbet ændrer sig efter, at transaktionen er godkendt, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, hvor beløbet først ændres efter, at transaktionen er godkendt.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.