Indsigelse mod korttransaktion efter modtagelse af falsk e-mail og indtastning af oplysninger på falsk hjemmeside. Modtagelse af 3D Secure sms, der alene angav en talkode.

Sagsnummer:88/2019
Dato:20-08-2019
Ankenævn:John Mosegaard, Andreas Moll Årsnes, Karin Duerlund, Ida Marie Moesby og Søren Geckler
Klageemne:Betalingstjenester - ikke groft uforsvarlig adfærd
Betalingstjenester - groft uforsvarlig adfærd
Ledetekst:Indsigelse mod korttransaktion efter modtagelse af falsk e-mail og indtastning af oplysninger på falsk hjemmeside. Modtagelse af 3D Secure sms, der alene angav en talkode.
Indklagede:Bank Norwegian
Øvrige oplysninger:OF
Senere dom:
Pengeinstitutter

Klager medhold.

Indledning

Sagen vedrører indsigelse mod korttransaktion efter modtagelse af falsk e-mail og indtastning af oplysninger på falsk hjemmeside. Modtagelse af 3D Secure sms, der alene angav en talkode.

Sagens omstændigheder

Klageren havde et Visa/Dankort hos Bank Norwegian.

Den 7. februar 2019 modtog klageren en falsk e-mail, der fremstod som om, den kom fra flyselskabet F. Af e-mailen fremgik:

Du har modtaget en kupon med to billetter …

… Hej,

Der er gået 25 år siden vi først åbnede dørene for [F] …

Vi tilbyder dig og få andre udvalgte et eksklusivt tilbud, du ikke kan takke nej til. Udnyt vores jubilæumskupon i dag, så kan du komme til at rejse billigere når som helst i det kommende år. I løbet af de næste 48 timer giver vi dig eksklusiv adgang til to flybilletter til en pris på kun 80 DKK, uanset hvor du vil hen, og hvem du vil tage med.

>> Fejr med os Klik her for at komme i gang i dag

Vores eksklusive tilbud udløber om 48 timer, så du må hellere være hurtig . …

Du modtager denne e-mail fordi du har godkendt vores vilkår og betingelser. 

Hvis du ikke vil modtage flere e-mails, klik her…”

Klageren har oplyst, at han klikkede på linket og derefter blev ledt ind på en hjemmeside, der fremstod som F’s hjemmeside. Klageren har fremlagt udskrifter af den pågældende hjemmeside med forskellige sider, som han udfyldte (spørgeskema, personlige oplysninger og betalingsoplysninger med kortnummer, udløbsdato og det trecifrede sikkerhedsnummer). Klageren modtog den 13. februar 2019 kl. 11.09.34 en sms fra banken med en talkode. Klageren har fremlagt et print af sms’en, der ikke indeholdt oplysning om betalingsmodtager eller transaktionsbeløb.

Den 13. februar 2019 kl. 11.10.00 blev der autoriseret en transaktion på 17.150,52 kr. vedrørende et køb med klagerens kort hos en udenlandsk internetforretning. Banken har oplyst, at der fremkom en opsætning/vindue med en meddelelse fra Nets ”Bekræftelse med engangskode” på den enhed til fjernkommunikation, som blev benyttet til at foretage købet, svarende til et af banken fremlagt et eksempel. Det fremlagte eksempel på meddelelse indeholdt oplysning om betalingsmodtager, transaktionsbeløb og et felt til indtastning af ”engangskode via SMS”.

Klageren spærrede sit kort den 14. februar 2019 og indgav den 15. februar 2019 indsigelse til banken mod transaktionen på 17.150,52 kr.

I en e-mail af 20. februar 2019 til klageren meddelte banken:

”Vi har nu færdigbehandlet din indsigelse og vi skal meddele dig om at Bank Norwegian ikke kommer til at dække selvrisikoen.

Transaktionen er foretaget med en sikker betalingsløsning over internettet (Verified by VISA). Ved at trykke på et link i en e-mail er blevet du udsat for Phishing, da du udleverede de nødvendige oplysninger til at foretage et sikkert køb på internettet. Ved et sikkert internetkøb har salgsstedet erhvervet ret til betalingen.

Henset til den mediedækning denne type svindel får, samt advarslerne imod at udlevere dine kort- og sikkerhedsoplysninger, er det vores opfattelse, at du har forårsaget tabet ved en groft uagtsom handling, idet du har forsømt at beskytte dine kort- og sikkerhedsoplysninger. Du holdes derfor selv ansvarlig for en selvrisiko på kr. 8.000, jvf. betalingsloven § 100- stk. 4. …”

Banken har fremlagt sine Aftalevilkår for kreditkort – forbrugervilkår, hvoraf det blandt andet fremgik:

”… 11. Beskyttelse af kort og kode. Anmeldelse ved tab

Kortet er personligt og må ikke overdrages eller på anden måde overlades til eller bruges af andre end den person, det er udstedt til. Kortindehaveren skal sikre, at uvedkommende ikke får adgang til kortet. Kortindehaveren skal træffe alle rimelige forholdsregler for at beskytte de personlige sikkerhedsforanstaltninger (f.eks. PIN-kode), der er knyttet til kreditkortet, så snart kortet er modtaget. Den personlige kode må ikke gives til andre personer, heller ikke til politiet eller Bank Norwegian, og må under ingen omstændigheder opbevares sammen med kreditkortet. I øvrigt må koden ikke anvendes under forhold, hvor andre kan se den. Kortindehaveren bør huske sin kode. Hvis kortholder har viden eller mistanke om, at kreditkortet er tabt eller at uvedkommende har fået kendskab til PIN-koden, skal kortholder underrette Bank Norwegian eller Bank Norwegians udpegede samarbejdspartnere straks. …

20. Ansvar for uautoriseret brug af kreditkortet

Bank Norwegian har ansvaret for uautoriserede hævninger eller anden belastning (betalingstransaktioner), hvis intet andet fremgår af bestemmelserne nedenfor. Betalingstransaktionen betragtes som uautoriseret, hvis kortindehaveren ikke har godkendt den før eller efter, at transaktionen er gennemført.

Efter betalingstjenesteloven § 62 hæfter kortindehaveren for op til 1.100 DKK for tab ved uautoriserede betalingstransaktioner, der skyldes, at kreditkortet er bortkommet eller er blevet stjålet, hvis den personlige kode eller anden lignende sikkerhedsforanstaltning er anvendt. Det samme gælder betalingstransaktioner, der skyldes, at en uvedkommende person er kommet i besiddelse af et kreditkort, og det er mislykkedes for kortindehaveren at beskytte den nævnte personlige sikkerhedsforanstaltning, og den er blevet brugt.

Efter betalingstjenesteloven § 62 hæfter kortindehaveren med op til 8.000 DKK ved uautoriserede betalingstransaktioner, hvis tabet skyldes, at kortindehaveren gennem grov uagtsomhed har undladt at opfylde en eller flere af sine forpligtelser i overensstemmelse med denne aftale. Hvis tabet skyldes, at kortindehaveren har handlet svigagtigt eller med forsæt har undladt at opfylde sine forpligtelser i henhold til denne aftale, skal kortindehaveren bære hele tabet.

Kortindehaveren har ikke ansvar for tab, der skyldes brug af et kreditkort, der er bortkommet, stjålet eller er faldet i de forkerte hænder, efter at kortindehaveren har underrettet Bank Norwegian i overensstemmelse med punkt 9, hvis ikke kortindehaveren har optrådt svigagtigt.

…”

Parternes påstande

Den 22. februar 2019 har klageren indbragt sagen for Ankenævnet med påstand om, at Bank Norwegian skal tilbageføre 8.000 kr.

Bank Norwegian har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hans kort er blevet misbrugt. Han klikkede på linket i mailen og udfyldte oplysninger på "F’s" hjemmeside, hvorefter hans konto blev tømt for 17.150,52 kr.

Han har ikke handlet skødesløst i brugen af sit kort og kan ikke acceptere en hæftelse for en egen andel på 8.000 kr.

Han havde haft sit kort i ca. en måned og begyndte først på dette tidspunkt at modtage "tilbud" på billige rejser fra F. At den omhandlede mail udskilte sig, var han ikke klar over på dette tidspunkt. Han ved ikke, hvordan han skulle kunne se, at mailserveren ikke var fra F.

Han burde ikke have gennemskuet, at hjemmesiden var falsk. Han var ikke klar over, hvilke opsætninger F anvender på sin hjemmeside.

Prisen på 80 kr. var ikke usædvanlig billig. Man kan til tider få flyrejser i Europa til 199 kr. Han troede endvidere, at der var tale om 80 kr. pr. person.

Han troede, at alt var i orden, da han modtog en sms fra banken.

F og banken burde have advaret, når de opdagede, at deres logo og hjemmeside blev brugt til at ”lokke folk i fedtefadet”.

Bank Norwegian har anført, at transaktionen blev godkendt med en engangskode sendt på sms fra Verified by Visa. Sms-koden er en personlig sikkerhedsforanstaltning. Sms-koden blev sendt til det telefonnummer, som klageren selv havde angivet. Telefonnummeret er tilknyttet det konkrete betalingskort.

Klageren modtog sms-koden i umiddelbar forbindelse med den konkrete betalingstransaktion. Transaktionen må anses for en autoriseret betaling, da klageren har indtastet sine kortoplysninger, betalingskortets trecifrede sikkerhedsnummer og den tilsendte sms-kode.

Klageren har handlet groft uforsvarligt, jf. lov om betalinger § 100, stk. 4, nr. 3.

Der er flere forhold, som burde have gjort klageren betænkelig ved den modtagne mail. Afsenderen som vist i klagerens mailboks er en anden, end afsendere andre modtagne mails fra F. Afsenderadressen på den modtagne mail har ikke noget med F at gøre. Linket i mailen ledte til en hjemmeside, med et navn, der heller ikke havde noget med F at gøre. Prisen på 80 kr. for en ”hvilken som helst flyrejse i op til et år” må anses som en usandsynligt billig pris for et gavekort på en flyrejse for to personer.

Der har i længere tid været mange advarsler mod phishing både på Nets og NemIDs hjemmesider og i medierne generelt om, at man skal sørge for at se på mail-adressen og undlade at trykke på links i de modtagne e-mails.

Klageren har ikke i tilstrækkelig grad værnet om sine kortoplysninger og de personlige sikkerhedsoplysninger, jf. punkt 11 og punkt 20 i bankens aftalevilkår for kreditkort – forbrugervilkår.

Betalingslovens § 128, stk. 2 blev opfyldt i forbindelse med betalingen. De dynamiske oplysningerne fremkom på skærmen på den enhed til fjernkommunikation, som blev anvendt til købet. Der er ikke krav om, at oplysningerne skal fremkomme i sms’en.

Ankenævnets bemærkninger

Den 13. februar 2019 kl. 11.10 blev der autoriseret en betalingstransaktion på 17.150,52 kr. med klagerens Visa/Dankort, der var udstedt af Bank Norwegian. Klageren spærrede kortet den 14. februar 2019.

Klageren har fremlagt en e-mail, som han modtog den 7. februar 2019 med et tilbud om køb af en kupon for 80 kr. til senere ombytning med to valgfrie flybilletter. E-mailen fremstod som om, den kom fra et flyselskab, F, men var falsk. Klageren har oplyst, at han klikkede på et link i e-mailen og kom videre til en falsk hjemmeside, der fremstod som F’s hjemmeside, hvor han indtastede oplysninger.

Banken har oplyst, at transaktionen skete med såkaldt 3D-Secure/Verified by Visa, det vil sige på grundlag af sms-kode, som blev sendt til klagerens telefonnummer, og kortoplysninger bestående af kortnummer, udløbsdato samt det trecifrede sikkerhedsnummer på bagsiden af kortet. Sms’en indeholdt ikke oplysning om betalingsmodtager eller transaktionsbeløb.

Banken har endvidere oplyst, at der fremkom en opsætning/vindue med en meddelelse fra Nets på den enhed til fjernkommunikation, som blev benyttet til at foretage købet, svarende til et af banken fremlagt et eksempel. Meddelelsen indeholdt oplysning om betalingsmodtager, transaktionsbeløb og et felt til indtastning af ”engangskode via SMS”.

Det lægges til grund, at transaktionen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands misbrug/uberettigede anvendelse af klagerens Visa/Dankort, og at misbruget også omfatter sms-koden.

Ankenævnet finder, at sms-koden var en personlig sikkerhedsforanstaltning til kortet, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Ankenævnet finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4 eller 5 er opfyldt.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt i forbindelse med misbruget, hæfter klageren for 375 kr. af tabet, jf. betalingslovens § 100, stk. 3.

Ankenævnets afgørelse

 

Bank Norwegian skal inden 30 dage til klageren betale 7.625 kr. med valør fra datoen for debitering af transaktionen.

Klageren får klagegebyret tilbage.