Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod hæftelse for korttransaktion i forbindelse med et bedragerisk telefonopkald.

Sagsnummer: 258/2022
Dato: 30-03-2023
Ankenævn: Vibeke Rønne, Inge Kramer, Karin Sønderbæk, Tina Thygesen og Jørn Ravn.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod hæftelse for korttransaktion i forbindelse med et bedragerisk telefonopkald.
Indklagede: Jyske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod hæftelse for korttransaktion i forbindelse med et bedragerisk telefonopkald.

Sagens omstændigheder

Klageren var kunde i Jyske Bank, hvor han havde konto nr. -729 og konto nr. -269, sidstnævnte med tilhørende Visa/Dankort.

Den 24. maj 2022 kl. 14:41 og 14:43 blev der foretaget to overførsler via netbank fra konto -729 på henholdsvis 8.500 kr. og 9.000 kr. til en tredjemands konto i Jyske Bank. Overførslerne blev godkendt med klagerens MitID. Banken har oplyst, at betalingen på 9.000 kr. blev frigivet af klageren i bankens system for mistænkelige betalinger, og at klageren i den forbindelse som en ekstra sikkerhed modtog en SMS-besked med teksten:

”Koden må aldrig udleveres til andre heller ikke medarbejdere i banken. Indtast SMS-kode 8932 i Netbanken for at godkende betalingen på DKK 9.000,00 til konto 7590 259xx08. (Bestillingsnummer 386135855). Er denne betaling ikke oprettet af dig, kontakt straks Jyske Bank på telefon 89892800. …”

Banken har endvidere oplyst, at det efterfølgende lykkedes banken at få tilbageført beløbene fra modtagerens konto.

Den 24. maj 2022 kl. 15:10 blev der foretaget en kortbetaling på 1.200 EUR med klagerens kort til en betalingsmodtager, C.

Banken har oplyst, at kortbetalingen blev godkendt med kortnummer, udløbsdato, CVC-kode (kontrolcifre) samt NemID-nøgleapp. Banken har fremlagt en udskrift fra Nets’ systemer, hvoraf det fremgår, at følgende tekst blev sendt til klagerens NemID-nøgleapp:

”Betal 1200,00 EUR til www.[C].com fra kort xx3160”

Det fremgår endvidere, at transaktionen blev accepteret den 24. maj 2022 i nøgleapp med serienummer -6503 installeret på iOS.

Om baggrunden for disse transaktioner har klageren anført, at han den 24. maj 2022 blev kontaktet telefonisk af en person, P, der udgav sig for at være en medarbejder fra Jyske Bank. P kunne både oplyse klagerens CPR-nummer samt indestående på hans konti. P spurgte klageren, om han var i færd med at foretage overførsler, hvilket klageren afviste. P oplyste klageren om, at han, for at stoppe disse transaktioner, skulle godkende med sit ID. Telefonopkaldet så ud til at være fra bankens telefonnummer.

Klageren har oplyst, at hans kæreste foretog et kontrolopkald til banken på telefonnummer 89898402, men opgav grundet en ventetid på 40 minutter. Klageren har fremlagt en udskrift fra sin teleudbyder, hvoraf det fremgår, at der den 24. maj 2022 kl. 15:00 er registreret et opkald med telefonnummer 89898402 med en varighed på et minut og otte sekunder.

Klageren har anført, at det var i forbindelse med, at han ”swipede”, at det gik op for ham, at han var blevet snydt, idet han forinden ikke kunne se, hvem han sendte beløbet til, men at han handlede i god tro om, at det var en medarbejder fra Jyske Bank. Han har overfor Ankenævnet præciseret, at han i forbindelse med godkendelse af sidste beløb kunne se, at der var tale om en overførsel af 1.200 EUR, og at han først på dette tidspunkt fattede mistanke om svindel.

Den 2. juni 2022 indgav klageren indsigelse over for banken vedrørende beløbet på 1.200 EUR. Af indsigelsen fremgår, at klageren svarede benægtende på spørgsmålet om, hvorvidt han på noget tidspunkt havde bekræftet sine kortoplysninger samt andre personlige oplysninger pr. mail eller SMS, og at klageren oplyste, at han blev ringet op af en person, der udgav sig for at være fra banken.

Banken har fremlagt kortbestemmelser for Visa/Dankort, hvor det af punkt 11, sidste afsnit, fremgår:

”… Du skal være opmærksom på, at … Jyske Bank … aldrig vil bede dig oplyse dit NemID/MitID, din pinkode eller anden personlig sikkerhedsforanstaltning som f.eks. kode til internethandel eller engangskode, som du har modtaget på sms …”

Banken har godtgjort klageren beløbet fratrukket 8.000 kr.                                                                                                                                                                                                                                                                                                                                                                                                                           

Parternes påstande

Den 6. juli 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal godtgøre ham det fulde beløb.

Jyske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at det ikke er korrekt, at han var vidende om, hvem beløbsmodtageren var, og at han burde havde indset, at han var i færd med at godkende en betaling på 1.200 EUR til C.

Han har været udsat for grov svindel og har handlet i god tro, da han troede, at han talte med en medarbejder fra Jyske Bank, idet vedkommende kendte hans CPR-nummer samt saldi på hans konti. Dette understøttes af, at opkaldet var fra bankens eget nummer 89898988, og at hans kæreste foretog et kontrolopkald til banken på telefonnummer 89898402, men grundet en ventetid på 40 minutter måtte opgive. Ved opkaldet blev der sagt ”Jyske Bank, der er i øjeblikket en ventetid på 40 minutter”, således blev han bestyrket i troen på, at det var en medarbejder fra banken, han talte med.

Han kender ikke til begrebet spoofing, og havde banken haft åbne telefonlinjer, ville det aldrig være sket.

På baggrund af ovenstående har han ikke haft en chance for at gennemskue svindlen.

Da han efterfølgende kontaktede banken for at oplyse om svindlen, talte han med en medarbejder, der kunne se, at de to andre overførsler var sat ind på andre konti i banken og kunne tilbageføres, og at det var i den sammenhæng, at det blev nævnt, at der var mistanke til egne medarbejdere, hvilket var en oplysning medarbejderen ikke måtte videregive. Dette foregik via telefon, og han kan derfor ikke dokumentere dette.

Han kan ikke forstå, hvorfor banken kan tilbageføre to overførsler, som også er godkendt via NemID, og ikke den tredje overførsel.

Han kan ikke bebrejdes det hændte og pålægges at betale 8.000 kr.

Jyske Bank har anført, at klageren godkendte den i sagen omhandlende Visa/Dankort betaling, og at klageren har oplyst, at godkendelsen skete med det formål at standse de uberettigede overførsler, som han ikke havde godkendt.

Det forekommer meget usædvanligt, at man skal godkende betalinger for at standse andre betalinger, og det burde dermed have skærpet klagerens opmærksomhed, da han blev anmodet derom af ”banken”.

Betalingstransaktionen er korrekt registreret og bogført og har ikke været ramt af tekniske svigt eller andre fejl.

Klagerens NemID var en personlig sikkerhedsforanstaltning, og ved transaktionerne blev der anvendt stærk kundeautentifikation.

Klageren modtog i ”godkendelsesflowet” for godkendelse af betalingen et oversigtsbillede i NemID, hvoraf det fremgik, at klageren ikke var i færd med at standse en betaling, men derimod var i færd med at godkende en betaling stor EUR 1.200,00 til C, Irland, og havde han læst detaljerne for godkendelsesbeskeden i NemID, var han blevet opmærksom på dette. Klageren har til trods herfor godkendt betalingen og dermed ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse og hæfter dermed med 8.000 kr. af tabet, jf. betalingslovens § 100, stk. 4, nr. 3. Ved behandlingen af indsigelsen vurderede banken, at klageren hæftede med op til 8.000 kr. som følge af hans ageren i forbindelse med misbruget.

Det er klagerens risiko, at han valgte at gennemføre betalingen.

Klagerens forklaring hænger efter bankens vurdering ikke sammen.

Klageren oplyste i sin tro- og loveerklæring, at han ikke på noget tidspunkt havde bekræftet sine kortoplysninger samt personlige oplysninger pr. mail eller SMS. Hvis klageren aldrig havde bekræftet sine personlige oplysninger, havde hans kortoplysninger ikke kunne videregives, og misbruget havde dermed ikke kunne ske. Klageren må på et tidspunkt have videregivet oplysninger om sit CPR-nummer og evt. saldi på hans konti i banken til andre, idet det bestrides, at en medarbejder i banken videregav disse oplysninger til uvedkommende.

Klageren modtog et såkaldt ”spoof-opkald”, som betyder at man ændrer sit opkaldsnummer til et andet nummer. Det bruges ofte af kriminelle for at svindle sig til kunders private oplysninger, og banken har ikke mulighed for at hindre spoof-opkald.

Banken ville aldrig bede kunder om at oplyse deres personlige oplysninger, jf. bankens kortbestemmelser for Visa/Dankort, pkt. 11, sidste afsnit.

Det bestrides, at klageren ved en efterfølgende samtale med en medarbejder fik oplyst, at banken havde mistanke til egne medarbejder, hvilket i øvrigt er udokumenteret.

Til støtte for påstanden om afvisning har banken anført, at der er en sådan usikkerhed om det faktisk passerede i sagen, herunder hvordan de kriminelle tilsyneladende har fået adgang til klagerens CPR-nummer, saldooplysninger og kortoplysninger, at en afgørelse af sagen forudsætter en bevisvurdering i form af parts- og vidneforklaringer, hvilket ikke kan ske ved Ankenævnet.

Klageren var ca. et halvt år tidligere udsat for en lignende hændelse, hvor en person ringede til ham og oplyste, at han ringede fra banken. Klageren har dermed ikke været i god tro.

Banken har ikke begået fejl eller forsømmelser i sagen.

Ankenævnets bemærkninger

Klageren var kunde i Jyske Bank.

Den 24. maj 2022 kl. 14:41 og 14:43 blev der foretaget to overførsler fra klagerens konto via netbank på 8.500 kr. og 9.000 kr. Den 24. maj 2022 kl. 15:10 blev der foretaget en kortbetaling med klagerens kort på 1.200 EUR til en betalingsmodtager, C.

Om baggrunden for transaktionerne har klageren oplyst, at han den 24. maj 2022 blev kontaktet telefonisk af en person, P, der oplyste at være en medarbejder fra Jyske Bank. P spurgte klageren, hvorvidt han var ved at foretage overførsler, hvilket klageren afviste. P oplyste klageren om, at klageren skulle godkende med sit ID, for at han kunne standse de igangværende overførsler.

Det lykkedes efterfølgende banken at få tilbageført beløbene fra de to netbank-overførsler fra modtagerens konto.

Klageren indgav den 2. juni 2022 indsigelse mod korttransaktionen på 1.200 EUR.

Banken har oplyst, at kortbetalingen blev godkendt med kortnummer, udløbsdato, CVC-kode samt NemID-nøgleapp. Banken har fremlagt en udskrift fra Nets’ systemer, hvoraf det fremgår, at følgende tekst blev sendt til klagerens NemID-nøgleapp: ”Betal 1200,00 EUR til www.[C].com fra kort xx3160”.

Klageren har om kortbetalingen anført, at det først var, da han ”swipede”, at det gik op for ham, at han var blevet snydt, idet han ikke forinden kunne se, hvem han sendte beløbet til, men at han handlede i god tro om, at det var en medarbejder fra banken han talte med.

Banken har anført, at den ved behandlingen af indsigelsen vurderede, at klageren hæftede med op til 8.000 kr. som følge af hans ageren i forbindelse med misbruget. Klageren modtog et oversigtsbillede i NemID, hvoraf det fremgik, at klageren ikke var i færd med at standse en betaling, men derimod var i færd med at godkende en betaling på 1.200 EUR til C. Klageren godkendte betalingen til trods herfor og muliggjorde dermed ved groft uforsvarlig adfærd den uberettigede hævning. Klageren må på et tidspunkt have videregivet oplysninger om sit CPR-nummer og evt. saldi på hans konti i banken til andre.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.

Ankenævnet finder endvidere, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.

Efter lov om betalinger § 100, stk. 4, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Vibeke Rønne, Inge Kramer og Karin Sønderbæk – udtaler:

Vi finder det godtgjort, at klageren har godkendt betalingen på 1.200 EUR, i sin Nem-ID-nøgleapp. Vi har lagt vægt på, at klageren har oplyst, at han ”swipede”, og på indholdet af udskriften fra Nets’ systemer.

Vi finder derfor, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i NemID-nøgleappen, hvor han før godkendelsen af transaktionen fik oplysninger om beløbet på 1.200 EUR og beløbsmodtager. Klageren hæfter som følge heraf med 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i sagen.

To medlemmer – Tina Thygesen og Jørn Ravn – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med Phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr., jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.625 kr. til klageren.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.