| Sagsnummer: | 438/2022 |
| Dato: | 09-05-2023 |
| Ankenævn: | Henrik Waaben, Morten Winther Christensen, Jimmy Bak, Tina Thygesen og Anna Marie Schou Ringive. |
| Klageemne: | Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 DKK af korttransaktion som blev foretaget som en 3D Secure betaling og godkendt i Nem-ID-nøgleapp. |
| Indklagede: | Danske Andelskassers Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, som blev foretaget som en 3D Secure betaling og godkendt i NemID-nøgleapp.
Sagens omstændigheder
Klageren var kunde i Danske Andelskassers Bank, hvor han havde et betalingskort -1977.
Den 5. oktober 2022 kl. 13:48 blev der foretaget en betaling med betalingskort -1977 på 891,80 OMR, som klageren ikke kan vedkende sig.
Om baggrunden for betalingen har klageren oplyst, at hans hustru modtog en mail om fornyelse af sit domæne, og at alle informationer var korrekte. Han trykkede på linket og indtastede kortoplysninger og NemID.
Betalingen blev foretaget med 3D Secure og ved godkendelse i klagerens NemID-nøgleapp. Banken har fremlagt en korrespondance med Nets, hvoraf det fremgår, at klageren blev præsenteret for følgende tekst ved godkendelse af betalingen i NemID-nøgleappen:
”Betal 891,800 OMR til [T] fra kort xx1977”
Den 14. oktober 2022 blev det på klagerens konto konstateret, at der med betalingskortet var foretaget en hævning på 891,800 OMR, svarende til 18.095,53 DKK.
Klageren gjorde indsigelse til banken og anførte blandt andet:
”Min hustru fik en mail i sin virksomhed om fornyelse af hendes domæne. Alle informationer var korrekte og det var tid. Så jeg trykkede på linket, indtastede kortoplysninger og nem-id.
Så gik det lidt trægt og betalingen blev afvist, så jeg begyndte at indtaste igen og igen gik den trægt. Så så jeg at det var en forkert adresse og lukkede jeg vinduet og ringede direkte til min bank.
Banken sagde at der ikke var reserveret noget eller manglede noget, så jeg skulle intet gøre. I dag, ugen efter, er der så trukket 18.000 DKR fra kontoen. Jeg ringer igen til min bank som spærre kortet og henviser mig hertil.”
Der er fremlagt en korrespondance mellem banken og klageren af 20. og 24. oktober 2022, hvori klageren blandt andet anførte, at han var utilfreds med vejledningen, han modtog, da han få minutter efter transaktionen ringede ind til banken og blev vejledt til at ”se tiden an” uden oplysning om, at han skulle spærre betalingskortet. Banken svarede, at det ikke ville have ændret noget, hvis kortet var blevet spærret lige efter, at klageren havde godkendt betalingen. Så snart betalingen på hjemmesiden blev godkendt med 3D Secure, var selve betalingen godkendt, og pengene blev trukket, også selvom betalingskortet i mellemtiden blev spærret.
Banken tilbageførte den omtvistede transaktion til klageren med fradrag af 8.000 DKK, idet den vurderede, at klageren ved godkendelse af betalingen havde udvist groft uforsvarlig adfærd, og at han på den baggrund hæftede for 8.000 DKK.
Parternes påstande
Den 27. oktober 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Andelskassers Bank skal tilbageføre det samlede beløb.
Danske Andelskassers Bank har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at banken har ret i dele af sine synspunkter, men ikke forholder sig ikke til, at han, i det minut, at han blev opmærksom på, at han havde godkendt ”Betal 891,800 OMR til [T] fra kort xx1977”, ringede til banken for at få hjælp til at rette fejlen.
Banken oplyste, at der ikke var reserveret eller manglede noget, så han skulle intet gøre, men ”bare tage det roligt, den var nok ikke gået igennem”.
Han kan ikke forstå, at transaktionen ikke kan hindres, når han ringede minuttet efter, at transaktionen blev godkendt. Han kan ikke forstå, at banken sagde, at der ikke manglede noget, men at der ugen efter blev trukket 18.000 DKK, at han ikke blev oplyst om sine muligheder for at spærre kortet eller kontakte Nets for at stoppe overførslen, og at han ikke blev oplyst om selvrisiko. Han gjorde, som banken opfordrede ham til.
Han klager både over, at det er muligt at oprette en 3D Secure betaling, som ikke kan spores, og over bankens manglende og misvisende vejledninger og udmeldinger.
Hvis han var blevet korrekt oplyst om eventuel trækning og selvrisiko, havde han selv taget affære og kontaktet diverse instanser.
Bankens kundevejledning var mangelfuld og opfordrede til passivitet fra hans side. Hvis det var umuligt at undgå misbruget, skulle dette være oplyst, og medarbejderen, der besvarede hans opkald, skulle have stillet ham videre til en medarbejder, der vidste mere.
Danske Andelskassers Bank har anført, at banken ikke kunne have forhindret transaktionen, uanset hvor hurtigt betalingskortet blev spærret efterfølgende, idet transaktionen går igennem i det øjeblik, klageren godkender med sit NemID ved 3D Secure betalinger. Klageren er derfor i vildfarelse om, at en spærring af kortet ved klagerens første henvendelse kunne have forhindret transaktionens gennemførelse.
Banken har ikke mulighed for at se en given transaktion, før den posteres på kontoen, og derfor havde banken ikke mulighed for at oplyse klageren om dette forinden.
Klageren validerede købet på 891,800 OMR med sit NemID ved 3D Secure betalingen, hvor han i forbindelse med valideringen i sin NemID-nøgleapp blev præsenteret for teksten ”Betal 891,800 OMR til [T] fra kort xx1977”, og klageren godkendte overførslen til trods herfor.
På den baggrund har klageren handlet groft uforsvarligt, hvorfor der må påregnes en selvrisiko på 8.000 DKK.
Ankenævnets bemærkninger
Klageren var kunde i Danske Andelskassers Bank, hvor han havde et betalingskort -1977.
Klageren modtog den 5. oktober 2022 en mail om fornyelse af domæne, hvorefter han indtastede kortoplysninger og NemID og godkendte betalingen med teksten ”Betal 891,800 OMR til [T] fra kort xx1977”.
Det lægges til grund, at transaktionen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens NemID er en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.
Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter at den var godkendt uanset tidspunktet for den efterfølgende spærring.
Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. § 100, stk. 4, nr. 3.
Ankenævnet lægger til grund, at der er tale om tredjemandsmisbrug, og at klageren har været udsat for phishing.
Tre medlemmer – Henrik Waaben, Morten Winther Christensen og Jimmy Bak – udtaler:
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i sin Nem-ID-nøgleapp, hvor han fik oplysninger om beløb og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer for, at klageren ikke får medhold i klagen.
To medlemmer – Tina Thygesen og Anna Marie Schou Ringive – udtaler:
Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger.
Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.