Indsigelse mod ”3D Secure” kortbetalinger verificeret med sms-koder til firma, der formidler handel med kryptovaluta

Sagsnummer:325/2020
Dato:23-11-2021
Ankenævn: Henrik Waaben, Mette Lindekvist Højsgaard, George Wenning, Jacob Ruben Hansen og Lisbeth Baastrup Burgaard.
Klageemne:Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod ”3D Secure” kortbetalinger verificeret med sms-koder til firma, der formidler handel med kryptovaluta
Indklagede:Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod ”3D Secure” kortbetalinger til firma, der formidler handel med kryptovaluta.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor han havde en konto med et tilknyttet Mastercard.

Den 25. og 26. maj og den 2. juni 2020 blev der gennemført tre betalinger med klagerens Mastercard på henholdsvis 3.900 EUR, 3.900 EUR og 1.800 EUR (herefter transaktionerne 1-3), som klageren ikke kan vedkende sig, til et firma, F. Den 25. maj 2020 blev to transaktioner til F på henholdsvis 9.000 EUR og 5.000 EUR afvist med begrundelsen ”Over Max Beløb”. Transaktionerne 1-3 blev gennemført med sikkerhedsløsningen 3D Secure ved brug af kortoplysninger, det trecifrede sikkerhedsnummer og ved indtastning af engangskoder, der blev sendt med sms til klagerens telefonnummer. Klageren har bestridt, at han modtog de pågældende sms’er.

Banken har oplyst, at F tilbyder en online platform til privatkunder, hvorfra kunderne kan købe, sælge og veksle kryptovaluta. Kunderne får ikke en kryptovalutakonto stillet til rådighed hos F, hvorfor køb/salg/veksling skal ske til/fra en såkaldt ”wallet”, som kunden har hos en anden udbyder, der stiller en sådan kryptovaluta-wallet/-konto til rådighed.

Klageren har oplyst, at han kontaktede banken telefonisk, da han opdagede transaktion 1 og 2 på sin konto. Den første transaktion var på det tidspunkt gennemført, mens den anden ventede/var reserveret. Klageren har anført, at han oplyste banken om, at der var tale om svindel, og at han bad banken slette den reserverede transaktion, men at banken meddelte, at den ikke kunne gøre dette. Banken har bestridt dette. Banken har anført, at telefonsamtalen angik to netbanksoverførsler på 40.000 DKK og 50.000 DKK, som banken havde stoppet grundet mistanke om svindel, og at transaktion 1 på 3.900 EUR (29.084,32 DKK), der stod som ”reserveret”, kortvarigt blev omtalt i samtalen. Banken har endvidere anført, at klageren bekræftede, at han selv havde foretaget og godkendt transaktion 1, og at han ønskede transaktionen gennemført. Klageren har bestridt dette. Banken har fremlagt en afskrift af en del af lydfilen vedrørende telefonsamtale med klageren den 25. maj 2020 kl. 16.43, hvoraf det blandt andet fremgår:

”… [Klageren, herefter ”K”]: fordi der er en, som er lavet lidt efter på 29.084 kr. og 32 øre, og der står den venter. Ved du, hvad den venter på?

[Banken, herefter DB]: … De er trukket på eller reserveret på dit hævekort. Er det noget, du selv er gået med til… at det skal ske?

K: På mit hævekort?

DB: Ja, der står øh

K: Jaa [taler i munden på hinanden], ja, ja

DB: [taler i munden på hinanden] reserveret for bitcoin … på dit hævekort

K: Jamen, det er det

DB: OK, fint.

K: Ja

DB: Fordi, jeg skulle bare lige være sikker på, at [utydeligt] det er dig selv, der står for den del også

K: OK, men det er ikke mig, der skal frigive den, det er den, jeg har entreret med

DB: Jeg finder dem lige. Jeg er lige ved at tage kontakt her.

K: OK, ja”

Klageren har bestridt indholdet af den af banken fremlagte afskrift og har anmodet banken om at sende ham lydfilen med optagelsen af telefonsamtalen og at fremlægge lydfilen i klagesagen. Banken har afvist dette.

Den 29. juli 2020 underskrev klageren en tro- og loveerklæring med indsigelse vedrørende transaktion 3 i kategorien ”Ikke-godkendte transaktioner”. Den samme dag bad banken klageren om at uddybe indsigelsen. Den 30. juli 2020 klagede klageren til F over transaktionerne 1-3 og bad F tilbageføre beløbene. Banken har oplyst, at klageren den 31. juli 2020 meddelte banken, at han gjorde indsigelse mod alle transaktionerne 1-3.

Den 4. august 2020 rettede banken henvendelse til F. I svar af 5. august 2020 anførte F:

”… We are cryptocurrency exchange service, all transactions are made in semi-automatic mode and exchange and payouts in crypto are made within 30 minutes after we receive payments and in this case we already send cryptocurrency on clients wallet and can't cancel transaction. We doesn't provide wallet systems, so that mean clients can't store funds or cryptocurrency in our system, we send cryptocurrency there, where client indicate before exchange and payment. All our clients can use our exchange service only after they get approve (general we take from clients international ID document, utility bill and selfie with ID document addressed for our exchange service), this payment belongs to [klageren] and we have all KYC documents on this person. … Please find attach clients profile”

Af den af F vedlagte kundeprofil med klagerens navn fremgik transaktionerne 1-3, at der var foretaget yderligere tre transaktioner den 22. maj 2020 og en transaktion den 14. juli 2020. Endvidere fremgik, at alle log in i perioden fra 22. maj til 14. juni 2020 blev foretaget fra IP-adressen -202, og at to af tre log in den 14. juli 2020 blev foretaget fra IP-adressen -202.

Banken har fremlagt en udskrift fra sit system, hvoraf det fremgår, at IP adressen -202 har været anvendt til log in på klagerens netbank 138 gange i perioden fra 25. januar til 20. november 2020. Banken har endvidere fremlagt en udskrift om oplysninger om den pågældende IP-adresse, herunder internetudbyder og netnavn.

Den 5. januar 2021 anmodede banken F om yderligere oplysninger i sagen. Samme dag svarede F:

”[F] performed his purchases and cryptocurrency was transferred to the indicated e-wallet address. When the client was performing cryptocurrency exchanges he indicated e-wallets for virtual currency receiving and confirmed that indicated e-wallets for transactions belong to him. We do not have more information regarding e-wallets owner names because it does not have public information.

[F] does not offer the e-wallets service and has no access to third parties e-wallets.”

Banken har fremlagt en udskrift fra sin søgning om F på Finanstilsynets hjemmeside, hvoraf fremgår, at Finanstilsynet ikke har registreret oplysninger om F.

Af bankens KORTBESTEMMELSER FOR MASTERCARD DIRECT fremgår blandt andet:

”.. 2.3. … Transaktioner, som du har godkendt, kan ikke tilbagekaldes – se dog pkt. 2.9 om muligheden for at tilbageføre en betaling … ”

Parternes påstande

Klageren har nedlagt påstand om, at Danske Bank skal godtgøre ham de tre ikke vedkendte transaktioner.

Danske Bank har nedlagt påstand om principalt frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at han ikke har godkendt transaktionerne. Han har ikke modtaget de omhandlede sms’er og har ikke godkendt transaktionerne via sin telefon. Der er tale om tredjemandsmisbrug. Han er helt klart blevet svindlet.

Banken må præcisere, hvad den mener med, at den anvendte 3D Secure løsning ikke udgør en stærk kundeautentifikation, og hvad dette betyder, når han fastholder, at han ikke modtog sms-koder.  

Det er ham en gåde, hvordan det lykkedes svindlerne at gennemføre transaktionerne, så det ser ud, som om han har godkendt dem.

Han har ikke handlet med kryptovaluta, men det har svindelfirmaet måske.

Banken skulle have gået noget mere til F.

Han gjorde alt for at stoppe svindlen. Han tog telefonisk kontakt til banken og oplyste, at der var tale om svindel. Han bad banken slette den reserverede transaktion. Banken meddelte, at den ikke kunne gøre dette. Banken sagde, at han skulle afvente, at transaktionen blev gennemført! Han meddelte, at han fandt bankens holdning aldeles uacceptabel.

Det er bankens ansvar, at den ikke stoppede transaktionen med det samme, når den blev oplyst om, at transaktionen var svindel! Banken har selvfølgelig mulighed for at stoppe en ikke gennemført transaktion, der beror på en kriminel handling. Banken har dermed pådraget sig et selvstændigt ansvar for transaktionerne.

Det er en vild fantasi fra bankens side og usandt, når banken påstår, at han skulle have kontaktet banken telefonisk og bekræftet, at han selv havde godkendt en reserveret transaktion. Han frygter, at banken har fabrikeret afskriften af lydfilen til lejligheden. Banken bør sende/fremlægge lydfilen. Bankens afskrift er falskneri og må afvises som dokumentation.

Banken har fremsat en række antagelser og vrøvl, som ikke dokumenterer noget. Bankens bemærkninger om IP-adresse giver ingen mening.

Danske Bank har til støtte for frifindelsespåstanden blandt andet anført, at transaktionerne er korrekt registreret og bogført og ikke var ramt af tekniske svigt eller fejl i øvrigt.

Transaktionerne skete ved brug af klagerens kortoplysninger, det trecifrede sikkerhedsnummer og ved brug af 3D Secure og ved brug af korrekt sms-kode. Det anerkendes, at den anvendte 3D Secure løsning med sms-kode ikke udgør stærk kundeautentifikation. Stærk kundeautentifikation har alene betydning i forhold til betalerens (klagerens) eventuelle egen hæftelse, jævnfør betalingslovens § 100, men ikke betydning i forhold til, hvorvidt der er tredjemandsmisbrug eller ej, jævnfør betalingslovens § 99.

Transaktionerne blev alle foretaget fra den samme IP-adresse, som klageren oftest bruger, når han logger på netbank, og som er registreret i nærheden af klagerens hjemby. Oplysningerne om IP-adressen indikerer, at der er tale om en privat person og ikke en tredjemandsmisbruger. Hvis det alligevel antages, at IP-adressen tilhører en tredjemand, er det usandsynligt, at tredjemand skulle have haft adgang til klagerens netbank allerede i januar 2020, men først fire måneder senere foretog de ikke-vedkendte transaktioner. Endvidere virker det usandsynligt, at der alene blev foretaget tre uautoriserede transaktioner, og at de uautoriserede transaktioner skete med klagerens Mastercard og ikke netbank, henset til at IP-adressen har været anvendt til at logge på klagerens netbank 138 gange i den angivne periode. Der er således ikke tale om sædvanlig adfærd for en tredjemandsmisbruger, hvorfor det har formodningen imod sig, at de ikke-vedkendte transaktioner er uautoriserede.

Klageren blev behørigt legitimeret hos F, herunder med ”selfie with ID document”. Af F’s svar til banken fremgår, at transaktionerne er godkendt og overført til en wallet/konto, der tilhører klageren. Kryptovaluta-wallet/-kontoen, hvortil transaktionerne skete, blev bekræftet af klageren selv. Der er ikke registreret advarsler om F.

Banken har genhørt de relevante telefonsamtaler. Banken kan ikke fremsende lydfilen, men klageren kan aftale et møde med banken, hvor lydfilen kan aflyttes. Klageren bekræftede i telefonsamtalen, at han selv havde foretaget og godkendt transaktion 1, og at han ønskede transaktionen gennemført. Da klageren selv godkendte denne transaktion, er der ikke tale om tredjemandsmisbrug. Henset til klagerens telefoniske bekræftelse og godkendelse af den første af de ikke-vedkendte transaktioner, og at de øvrige to ikke-vedkendte transaktioner skete til samme modtager, er der heller ikke er tale om tredjemandsmisbrug for så vidt angår de to øvrige ikke-vedkendte transaktioner.

Banken kan ikke genkende, at klageren skulle have bedt banken om at stoppe en af de ikke-vedkendte transaktioner. Uanset dette kunne banken ikke tilbagekalde transaktionen/transaktionerne, jævnfør bankens (dagældende) vilkår for klagerens Mastercard. Tilsvarende følger det af betalingsloven § 111, stk. 1, at banken ikke kan tilbagekalde en transaktion, efter at instruksen om transaktionen er modtaget af banken.

Der er således ikke tale om tredjemandsmisbrug. Klageren har endvidere fået leveret sin ydelse, jævnfør betalingslovens § 112, idet transaktionerne er gået ind på den ønskede wallet/konto.

Danske Bank har til støtte for afvisningspåstanden anført, at klageren havde betalingskortet i sin besiddelse. Klagerens påstand om, at han ikke foretog transaktionerne, hænger ikke sammen med det faktiske hændelsesforløb, herunder at transaktionerne blev autoriseret med 3D Secure, og at IP-adressen, som klageren oftest bruger til at logge på netbank, blev anvendt til transaktionerne. Aflytning af telefonsamtalen med dertil hørende vidne- og/eller partsafhøring kan ikke ske for Ankenævnet. En afklaring af, hvorvidt der er tale om tredjemandsmisbrug eller ej, vil kræve yderligere bevisførelse, der ikke kan ske for Ankenævnet.

Ankenævnets bemærkninger

Klageren var kunde i Danske Bank, hvor han havde en konto med et tilknyttet Mastercard.

Den 25. og 26. maj og den 2. juni 2020 blev der foretaget tre betalinger med klagerens Mastercard på henholdsvis 3.900 EUR, 3.900 EUR og 1.800 EUR (herefter transaktionerne 1-3), til et firma, F, der formidler handel med kryptovaluta. Transaktionerne blev gennemført med sikkerhedsløsningen 3D Secure ved brug af kortoplysninger, trecifret sikkerhedsnummer og engangskoder, der blev sendt med sms til klagerens telefonnummer.

Klageren har anført, at han ikke har godkendt transaktionerne, og at han ikke har modtaget de omhandlede sms’er. Banken har anført, at klageren i en telefonsamtale med banken bekræftede, at han havde foretaget og godkendt transaktion 1, og at han ønskede transaktionen gennemført. Banken har fremlagt en afskrift af en del af lydfilen vedrørende telefonsamtale. Banken har endvidere anført, at transaktionerne blev foretaget fra den samme IP-adresse, som klageren normalt anvender til log in på sin netbank. Klageren har bestridt det af banken anførte om IP-adresse, om telefonsamtalen samt indholdet af den af banken fremlagte afskrift.

Ankenævnet finder, at en stillingtagen til sagen vil forudsætte en bevisførelse, herunder aflytning af optagelsen af telefonsamtalen og parts- og vidneforklaringer, som ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.