Indsigelse mod transaktioner med betalingskort. Spørgsmål vedrørende sms-engangskoder og en e-mail, der fremstod som om, den kom fra Nets, men som var falsk.

Sagsnummer:290/2018
Dato:04-04-2019
Ankenævn:Vibeke Rønne, Anita Nedergaard, Karin Duerlund, Troels Hauer Holmberg og Anna Marie Schou Ringive
Klageemne:Betalingstjenester - groft uforsvarlig adfærd
Betalingstjenester - ikke groft uforsvarlig adfærd
Betalingstjenester - selvrisiko 1.200 kr./1.100 kr.
Betalingstjenester - ubegrænset hæftelse
Ledetekst:Indsigelse mod transaktioner med betalingskort. Spørgsmål vedrørende sms-engangskoder og en e-mail, der fremstod som om, den kom fra Nets, men som var falsk.
Indklagede:Langå Sparekasse
Øvrige oplysninger:OF
Senere dom:
Pengeinstitutter

Klageren medhold.

Indledning

Denne sag vedrører indsigelse mod transaktioner med betalingskort, herunder spørgsmål vedrørende sms-engangskoder og en e-mail, der fremstod som om, den kom fra Nets, men som var falsk.

Sagens omstændigheder

Klageren er kunde i Langå Sparekasse, hvor hun har et Visa/Dankort.

Sparekassen har oplyst, at Verified by Visa den 16. august 2018 sendte fire såkaldte 3D Secure koder pr. sms til klagerens telefonnummer, henholdsvis kl. 21.11.31, kl. 21.18.39, 21.24.34 og kl. 21.30.24. Som dokumentation herfor har sparekassen fremlagt udskrifter fra Nets. Sparekassen har oplyst, at sms-teksterne var følgende:

”Din engangskode er: [kode] til dit køb på [beløb] hos [forretningsnavn]. Er du ikke i gang med onlinehandel, spær straks kortnr. [de fire sidste cifre i kortnummeret på klagerens Visa/Dankort]!”

Klageren har anført, at hun ikke har modtaget de pågældende sms-koder.

Den 16. august 2018 kl. 21.21 og kl. 21.27 blev der gennemført to betalingstransaktioner på henholdsvis 9.855 kr. og 3.820 kr. med klagerens kort.

Sparekassen har oplyst, at sms-koderne, der blev sendt til klagerens telefonnummer, blev benyttet som autorisation for transaktionerne. Nets kan ikke oplyse præcis hvilke af de fire koder, der blev anvendt ved transaktionerne.

Klageren har fremlagt kopi af en e-mail af 16. august 2018 til hende. E-mailen fremstod som om, den kom fra Nets. Sparekassen har oplyst, at e-mailen hverken blev sendt af sparekassen eller af Nets. Af e-mailen fremgik:

”…

Fra: Nets Denmark A/S

Emne: Faktura!

Kære kunde hos Nets,

Vi har modtaget en transaktionsanmodning fra dit kreditkort 4571-xxxx-xxxx-xxxx med en ip-adresse uden for Danmark. Af denne grund har vi forsinket debitering i 24 timer.

-Hvis transaktionen behandles af dig, skal du ignorere denne meddelelse, og transaktionsbeløbet debiteres efter 24 timer.

-Hvis transaktionen behandles af en anden person, skal du annullere transaktionen og anmode om tilbagebetaling ved at klikke på linket herunder og følge instruktionerne.

Log ind nu >>
Nets A/S CVR-nr. 37427497 Lautrupbjerg 10 DK-2750 Ballerup Denmark

…”

Klageren har oplyst, at hun klikkede på linket og indtastede sine kortoplysninger.

Den 16. august kl. 21.43 spærrede klageren kortet.

Den 28. august 2018 blev de 9.855 kr. og 3.820 kr. hævet på klagerens konto.

Den 29. august 2018 ringede klageren til sparekassen og gjorde indsigelse mod transaktionerne. Sparekassen har anført, at klageren under telefonsamtalen oplyste, at hun havde modtaget sms’er med 3D Secure koder fra Verified by Visa, og at hun havde sendt disse videre tillige med kortoplysninger via mail. Klageren har bestridt dette og har anført, at hun ikke har modtaget 3D Secure koder fra Verified by Visa, og at hun til stadighed har oplyst og fastholdt dette over for sparekassen.

Klageren gjorde indsigelse over for betalingsmodtager, som imidlertid ved en e-mail af 30. august 2018 henviste klageren til at gøre indsigelse via sit pengeinstitut.

Den 30. august 2018 indgav klageren en klage over sparekassen til Ankenævnet.

Den 31. august 2018 anmeldte klageren sagen til politiet.

Ved et brev af 9. november 2018 til klageren meddelte politiet, at der ikke var grundlag for at indlede en efterforskning af anmeldelsen. Af brevet fremgik blandt andet:

”…

… der på baggrund af oplysningerne i deres anmeldelse ikke vurderes at være relevante muligheder for efterforskning, der kan føre til identifikation af en mulig gerningsmand Det bemærkes, at sagen kan genoptages, hvis der kommer nye oplysninger af betydning for sagen.

…”

Klageren har oplyst, at hun ikke efterfølgende har haft kontakt med politiet om sagen.

I en e-mail af 21. december 2018 til sparekassen oplyste modtageren af de 9.855 kr. og 3.820 kr. på forespørgsel fra sparekassen, at beløbene vedrørte betalinger for køb af to flyrejser til en person, T, henholdsvis den 20. august 2018 fra Dubai til Amsterdam og den 8. september 2018 fra Madrid til Dubai. Klageren har anført, at hun ikke har kendskab til T eller de pågældende rejser.

Sparekassen har oplyst blandt andet følgende om Verified by Visa 3D Secure:

”…

3D Secure Verified by Visa er det man populært kan kalde for en 2 faktor sikkerhedsløsning. Man har altså mulighed for ved køb på nettet, at få, udover indtastning af sine kortoplysninger og sit kontrolnummeret på sit Visa kort (det tre-cifrede nummer bag på kortet), også at modtage en engangskode via SMS - det er denne kode, som er benævnt som 3D Secure koden.

Systemet fungerer på den måde, at kunden ved et køb på nettet bliver bedt om at indtaste sine kortoplysninger, og såfremt der er tilknyttet 3D Secure til kortet (Visa kortet) sendes der en kode via SMS til kortindehaverens mobiltelefon. Denne kode skal benyttes til at gennemføre købet. SMS dannes af NETS, og det er kun modtageren, som kender den sendte kode – NETS kan altså ikke oplyse hvad SMS koden er. NETS kender naturligvis til om SMS´en er sendt fra NETS systemer, og til hvilket mobilnummer SMS´en/SMSérne er sendt. Koden som består af en række cifre, skal benyttes til at gennemføre købet hos den pågældende butik. Sidst men ikke mindst kender NETS også til, fra hvilken butik 3D Secure koden er forespurgt fra – dette vil efter NETS oplysninger sendes med i SMS´en, som sendes til kortholderens mobilnummer.

…”

Sparekassen har oplyst, at Nets, på forespørgsel har oplyst, at Nets ikke kan se, at det skulle være muligt, at sms-koder kan videregives ved at klikke på et link i en mail.

Sparekassen har oplyst, at den ikke tidligere har haft en sag, hvor der er gennemført transaktioner på en klagers kort, og hvor der er anvendt 3D Secure koder, men hvor klageren påstår ikke at have modtaget koderne på sms, til trods for dokumentation for at disse er sendt til klagerens mobiltelefon. Nets har oplyst at have forskellige typer af sager, men at Nets ikke umiddelbart har set sager, hvor der er sendt 3D Secure koder – kvittering for modtagelsen fra teleselskabet over for Nets er valid – men at kunden alligevel ikke har modtaget sms-koderne. Med baggrund i ovennævnte observationer og manglen på fortilfælde af denne type sager, er der naturligt ikke foretaget forbyggende tiltag i disse sammenhænge.

Vedrørende klagerens eventuelle muligheder for at få betalingerne refunderet af Visa har sparekassen oplyst, at kundernes refusion i forbindelse med indsigelser foretages af pengeinstituttet, og pengeinstituttet søger indsigelse over for Nets/Visa. Da der er anvendt 3D Secure kan pengeinstituttet ikke gøre indsigelse over for Nets eller herigennem Visa. Kunders indsigelser skal fremføres over for kortudsteder i henhold til kortreglerne og ikke Visa.

Parternes påstande

Klageren har nedlagt påstand om, at Langå Sparekasse skal tilbageføre transaktionerne på i alt 13.675 kr.

Langå Sparekasse har nedlagt påstand om principalt frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hun har været udsat for svindel, hvor en tredjemand har tilegnet sig hendes kortoplysninger på uhæderlig vis og tillige har formået at få sms’erne fra Verified by Visa sendt til sig og dermed uberettiget har benyttet hendes kort til køb af flybilletter til tredjemand.

I henhold til betalingsloven er det sparekassen, der skal løfte bevisbyrden for, at hun ikke har været udsat for uberettiget anvendelse af hendes betalingskort, og sparekassen har ikke løftet den bevisbyrde.

Hun vedstår, at hun har begået en fejl ved at aflevere kortoplysninger på baggrund af mailen af 16. august 2018, som hun opfattede som udsendt fra Nets med en advarsel om muligt misbrug af hendes betalingskort. Hun har ikke modtaget sms’er fra Verified by Visa og følgelig heller ikke brugt sms-koder til transaktionerne på 9.855 kr. og 3.820 kr., hvilket hun til stadighed har fastholdt over for sparekassen. Det bør ikke komme hende til skade, hvis en medarbejder hos sparekassen måtte have misforstået hendes oplysninger.

Hun har kontaktet sin teleudbyder med henblik på at få oplyst, hvilke indgående sms’er, der har været til hendes mobilnummer i tidsrummet 21.10 - 21.45 den 16. august 2018. Dette kunne hun imidlertid ikke få oplyst, da det alene var politiet, der kunne indhente disse oplysninger. Hun anmeldte sagen til politiet og efterfølgende kontaktede hun på ny politiet for at få de ønskede oplysninger.

Videregivelsen af kortoplysningerne var simpel uagtsomhed og hun hæfter derfor højst for 375 kr. af misbruget på 13.675 kr., jf. betalingsloven. Sparekassen har ikke løftet bevisbyrden for, at hendes hæftelse overstiger dette beløb.

Hun spærrede kortet umiddelbart efter, at hun havde fundet ud af, at hun havde reageret på en falsk henvendelse fra Nets.

Langå Sparekasse har til støtte for frifindelsespåstanden anført, at de omtvistede transaktioner er godkendt af klageren via oplysninger fra klagerens mobiltelefon (3D-Secure/Verified by Visa). Transaktionerne er korrekt gennemført. Der er således hverken tale om uautoriserede eller fejlbehæftede betalingstransaktioner omfattet af betalingslovens hæftelses- og ansvarsregler.

Sparekassen har via Nets ført bevis for, at de omhandlede sms-koder er sendt til klagerens mobilnummer. Derudover har klageren pr. telefon den 29. august 2018 over for sparekassen selv tilkendegivet, at have modtaget Verified by Visa 3D-Secure koder fra Nets. Dette understøttes af interne notater i sparekassen.

Det har ikke været muligt at gennemføre de omtvistede transaktioner, med mindre man har haft adgang til både kortoplysninger og de fremsendte sms’er til klagerens telefonnummer.

Til støtte for afvisningspåstanden har sparekassen anført, at sagen bør afvises under hensyn til bevisets stilling.

Ankenævnets afgørelse

Den 16. august 2018 kl. 21.21 og kl. 21.27 blev der gennemført to betalingstransaktioner på henholdsvis 9.855 kr. og 3.820 kr., i alt 13.675 kr., med klagerens Visa/Dankort, der er udstedt af Langå Sparekasse. Klageren spærrede kortet den 16. august 2018 kl. 21.43.

Sparekassen har oplyst, at transaktionerne skete med såkaldt 3D-Secure/Verified by Visa, det vil sige på grundlag af sms-koder, som blev sendt til klagerens telefonnummer, og kortoplysninger bestående af kortnummer, udløbsdato samt det trecifrede sikkerhedsnummer på bagsiden af kortet, hvilket er bekræftet af Nets.

Klageren har bestridt, at hun skulle have modtaget de pågældende sms-koder.

Klageren har fremlagt en e-mail, som hun modtog den 16. august 2018, og som fremstod som om, den kom fra Nets, men som var falsk. Klageren klikkede på et link i e-mailen og indtastede sine kortoplysninger.

Modtageren af de 9.855 kr. og 3.820 kr. har oplyst, at beløbene vedrører betalinger for køb af to flyrejser til en person, T, henholdsvis den 20. august 2018 fra Dubai til Amsterdam og den 8. september 2018 fra Madrid til Dubai. Klageren har anført, at hun ikke har kendskab til T eller de pågældende rejser. Klageren har anmeldt forholdet til politiet.

Ankenævnet finder ikke grundlag for at betvivle klagerens oplysninger om manglende kendskab til T og de pågældende flyrejser, og at hun ikke har anvendt sms-koderne.

Ankenævnet finder det herefter godtgjort, at transaktionerne skyldes tredjemands misbrug/uberettigede anvendelse af klagerens Visa/dankort, og at misbruget også omfatter sms-koderne.

Ankenævnet finder, at sms-koderne var personlige sikkerhedsforanstaltninger til kortet, jf. betalingsloven § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.

På denne baggrund og efter det af sparekassen oplyste om, at Nets har bekræftet, at koderne, der blev sendt til klagerens telefonnummer, blev anvendt ved transaktionerne, finder Ankenævnet det godtgjort, at den til betalingstjenesten hørende personlige sikkerhedsforanstaltning blev anvendt i forbindelse med misbruget.

Ifølge betalingsloven § 100, stk. 3 hæfter betaleren med op til 375 kr. for tab som følge af andres uberettigede anvendelse af betalingstjenesten, hvis den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, medmindre sparekassen har godtgjort, at der foreligger omstændigheder, som medfører videregående hæftelse, jf. § 100 stk. 4 og 5.

Da der som anført ikke er grundlag for at betvivle klagerens oplysninger i sagen, finder Ankenævnet, at sparekassen ikke har godtgjort, at der er grundlag for at pålægge klageren videregående hæftelse.

Klagerens hæftelse for tabet udgør herefter 375 kr., jf. lov om betalinger § 100, stk. 3.

Ankenævnets afgørelse

Langå Sparekasse skal inden 30 dage til klageren betale 13.300 kr. med valør fra datoen for debitering af transaktionerne.

Klageren får klagegebyret tilbage.