Indsigelse mod transaktioner, der blev gennemført som ”3D Secure” betalinger

Sagsnummer:120/2018
Dato:05-03-2019
Ankenævn:Vibeke Rønne, Michael Reved, Mikkel Prehn, Troels Hauer Holmberg og Lisbeth Baastrup Burgaard
Klageemne:Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - fjernsalgstransaktioner
Ledetekst:Indsigelse mod transaktioner, der blev gennemført som ”3D Secure” betalinger
Indklagede:Nordea Danmark
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod korttransaktioner, der blev gennemført som ”3D Secure” betalinger.

Sagens omstændigheder

Klageren er kunde i Nordea, hvor han har et Visa/dankort. Den 20. oktober 2015 tilmeldte klageren kortet til til Nets sikkerhedsløsning 3D Secure.

Den 12. februar 2018 blev der gennemført følgende fire betalinger med klagerens kort:

Klokkeslæt

Beløb

Beløb i DKK

Forretning

Kl. 10.00.31

309 EUR

2.301,73

F1

Kl. 10.06.34

309 EUR

2.301,73

F1

Kl. 11.28.05

5.000,00 DKK

5.000,00

F2

Kl. 11.32.26

5.000,00 DKK

5.000,00

F3

I alt

 

14.603,46

 

Banken har oplyst, at betalingsmodtagerne var tilmeldt 3D-secure. Det betyder, at der forinden foretagelsen af transaktionerne blev sendt en sms med en engangskode fra Nets til klagerens mobiltelefon. Sms-koderne blev sammen med klagerens personlige oplysninger om kortnummer, udløbsdato og det trecifrede sikkerhedsnummer på bagsiden af kortet, anvendt til at gennemføre de enkelte transaktioner. Det var en forudsætning for, at transaktionerne kunne gennemføres, at de pågældende sms-koder blev indtastet. Der blev sendt sms-koder til klagerens mobiltelefon den 12. februar 2018 henholdsvis kl. 09.58.50, kl. 09.59.59, kl. 10.05.35, kl. 11.27.10 og kl. 11.32.14. Den første sms-kode kl. 09.58.50 blev ikke anvendt. De fire efterfølgende sms-koder blev anvendt ved de fire gennemførte betalinger.

Den 12. februar 2018 kl. 11.38 blev kortet spærret af Nets.

Samme dag kl. 11.46 sendte banken en sms til klagerens mobiltelefon med følgende tekst:

”Kære kunde. Vi har i dag midlertidigt spærret dit Visa/dankort på baggrund af nogle mistænkelige transaktioner, som vi gerne vil have dig til at bekræfte. Kontakt os hurtigst muligt på 70 33 33 33, så vi enten kan ophæve spærringen eller udskifte dit kort. Venlig hilsen Nordea (bemærk denne sms kan ikke besvares)”

Klageren har anført, at han ringede til banken og spærrede kortet permanent, da han blev bekendt med sms’erne. Klageren har fremlagt en opkaldsoversigt, der viser et opkald med en varighed på 00.10.04 til 70 33 33 33 den 12. februar 2018 kl. 12.41.

Klageren har fremlagt kopi af i alt fem sms’er som blev sendt til hans mobiltelefon den 12. februar 2018, heraf to sms’er kl. 10, der hver indeholder en kode til oprettelse af en konto, én sms kl. 10.35 med en kode til godkendelse af en konto, og to sms’er kl. 11.25 med hver én kode til brug for køb af bitcoins.  

Den 15. februar 2018 underskrev klageren en indsigelsesblanket til banken vedrørende de fire transaktioner. Klageren anførte, at kortet var i hans besiddelse på tidspunktet for de ikke vedkendte transaktioner, at kortet ikke havde været udlånt, og at ingen havde haft adgang til kortet.

Banken afslog at tilbageføre de omtvistede betalinger.

Af bankens regler for Visa/dankort pr. 1. januar 2018 fremgik blandt andet:

”…

6 Sikre internetbetalinger

Dankort Secured by Nets og Verified by Visa er en ekstra beskyttelse mod misbrug af kortdata ved handel på internettet. Sikkerheden består i, at du ved køb på internettet – ud over kortet – skal benytte en engangskode, som du modtager fra Nets via SMS i forbindelse med betalingen. Engangskoden skal kun anvendes ved køb i internetforretninger, der anvender Dankort Secured by Nets og Verified by Visa.

Hvis du ikke er tilmeldt Dankort Secured by Nets eller Verified by Visa, kan du ikke handle i den pågældende forretning. …

11 Dit ansvar ved misbrug af koret

11.1 Hvis kortet har været misbrugt af en anden person, vil Nordea dække tabet, medmindre tabet er omfattet af afsnit 11.2 – 11.6 nedenfor. Det er Nordea, der skal bevise, at tabet er omfattet af afsnit 11.1 – 11.6. …

11.3 Du skal dække tab op til DKK 8.000 i tilfælde af, at kortet har været misbrugt af en anden person og pinkoden har været anvendt, og

  • du har undladt at underrette dit pengeinstitut snarest muligt efter at have fået kendskab til, at kortet er bortkommet, eller at uberettigede har fået kendskab til koden
  • du har oplyst koden til den, der har foretaget den uberettigede anvendelse, uden du indså eller burde have indset, at der var risiko for misbrug
  • du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

11.4 Du hæfter for det fulde tab, hvis pinkoden har været anvendt i forbindelse med misbruget under følgende betingelser

  • Du har selv oplyst pinkoden til den, som har misbrugt kortet, og du indså eller burde have indset, at der var risiko for misbrug

11.5 Du hæfter endvidere for det fulde tab, hvis du har handlet svigagtigt eller med forsæt har undladt at opfylde dine forpligtelser i henhold til reglerne herunder til at opbevare kortet og mobiltelefonen til Verified by Visa forsvarligt, se afsnit 6, at beskytte pinkoden, se afsnit 3 og 4, eller at spærre kortet, se afsnit 10.

11.8 Uanset ovenstående hæfter banken tillige for misbrug, hvis du ikke kunne opdage tabet, tyveriet eller den uberettigede tilegnelse af din pinkode.

…”

Den 2. april 2018 indbragte klageren sagen for Ankenævnet. På et nævnsmøde den 22. november 2018 blev sagsbehandlingen udsat, idet Ankenævnet anmodede parterne om at indhente oplysninger hos betalingsmodtagerne.

På en forespørgsel fra klageren oplyste F3 i en e-mail blandt andet, at transaktionen på 5.000 kr. ”drejer sig om køb af Bitcoins, som blev leveret på Bitcoin adresse: [... ]”.

På baggrund af en forespørgsel fik klageren ved en e-mail af 30. november 2018 oplyst, at F2 var konkurs.

Banken har fremlagt oplysninger indhentet hos F1. Heraf fremgår, at transaktionerne på 2 x 309 EUR vedrørte klagerens køb den 12. februar 2018 af Bitcoins, der blev leveret til to nærmere angivne adresser. Endvidere fremgår blandt andet:

”…

Customers are able to buy or sell Bitcoins from/to [F1] via Wallet that has the purpose of storing their Bitcoin (Partner wallet provider – Blockchain or any other wallet provider).
[F1] does not have access to the customers’ wallets and their Bitcoins.

…”

Parternes påstande

Klageren har nedlagt påstand om, at Nordea Danmark skal tilbageføre de ikke vedkendte hævninger.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at betalingerne tilsyneladende skete ved hacking af hans konto.

Han opdagede først sms’erne, da kortet allerede var blevet spærret af Nets. Han spærrede kortet med det samme, da han så sms’erne.

Banken bør dække hans tab. Han bør højst hæfte for selvrisikoen. Han ikke anvendt koderne som hævdet af banken.

Han har opfyldt alle reglerne for kortet.

Banken har ikke ført bevis for omstændigheder, der kan begrunde, at han hæfter for tabet.

Ifølge banken blev hans personlige oplysninger og kortoplysninger anvendt i forbindelse med transaktionerne. Han ved ikke, hvordan dette skulle være muligt.

Hans telefon er koblet sammen med hans MacBook og sms’erne kom derfor frem på computeren.

Har haft fat i TeamViewer, mac-support, com-team, som alle oplyste, at en eventuel sporing skulle have fundet sted med det samme, hvis de skulle bevise, lige præcis hvem det var.

TeamViewer oplyste, at deres program kan skærmdele, og at de har oplevet at blive hacket. Ved adgang til hans computer har der også været adgang til sms’erne og til oplysninger om tidligere handler med kortet. Straks efter han blev bekendt med misbruget slettede han programmet TeamViewer og fik sin computer renset.

Da han gjorde indsigelse oplyste en medarbejder i banken, at han burde få sine penge igen, da det hele så bemærkelsesværdigt ud. Han har redegjort for indsigelsen både inde i banken samt til deres klagenævn.

Han har gennem hele forløbet handlet i god tro og reageret straks efter han fik mistanke om misbrug. Han er uforstående over for, at bankens kortregler om svindel ikke prøver at hjælpe en kunde med at dække tabet, når der aldrig har været handlet disse steder. Alene omstændighederne med to identiske beløb efter hinanden burde have medført, at kortet straks var blevet spærret.

Han har hverken ”en bruger eller penge” hos betalingsmodtagerne, og han har gennem hele sagen forsøgt at fortælle og gøre alt for, at få sagen afsluttet. Sammenholdt med bankens kortregler må det derfor påhvile banken at bevise, at det er ham, der har udført transaktionerne

Nordea Danmark har anført, at de omtvistede betalinger blev gennemført med stærk kundeautentifikation eller to-faktorautentifikation, idet der ud over kortoplysningerne også blev anvendt adgangskode tilsendt via sms.

Klageren har erkendt, at han har modtaget 3D-secure sms’erne, som var en forudsætning for at de omtvistede transaktioner kunne gennemføres.

Klageren har erklæret, at han var i besiddelse af sit betalingskort på tidspunkterne for de omtvistede transaktioner.

Nets har bekræftet ikke at være bekendt med, at der var opstået tekniske svigt eller fejl hos Nets eller fejl i bogføringen hos Nordea.

De omtvistede betalinger blev foretaget af klageren selv eller med klagerens accept.

Det af klageren anførte om en udtalelse fra en medarbejder i banken har ikke kunnet verificeres og afvises som udokumenteret. Selv hvis en medarbejder måtte have udtalt sig som anført af klageren, var dette ikke udtryk for bankens vurdering af sagen, som først blev foretaget efterfølgende.

Ankenævnets bemærkninger

Ankenævnet lægger til grund, at de omtvistede betalinger med klagerens betalingskort svarende til i alt 14.603,46 kr. skete ved brug af kortnummeret og den trecifrede kode, samt ved brug af Nets sikkerhedsløsning 3D Secure ved anvendelse af en sms engangskode.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registrerede og bogførte og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Afgørelsen af sagen beror på, om der må antages at være tale om tredjemandsmisbrug, eller om transaktionen er foretaget med klagerens samtykke. Ankenævnet finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3 nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.