Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af phishing mail.

Sagsnummer: 209/2022
Dato: 27-01-2023
Ankenævn: Henrik Waaben, Kritte Sand Nielsen, Karin Duerlund, Morten Bruun Pedersen og Poul Erik Jensen
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af phishing mail.
Indklagede: Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Sagen vedrører indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af phishing mail.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor han havde et betalingskort.

Den 12. maj 2022 blev der foretaget en kortbetaling på 22.719 kr. fra klagerens konto i banken til en betalingsmodtager, A, som klageren ikke kan vedkende sig.

Klageren har oplyst, at baggrunden for betalingen var, at han den samme dag havde modtaget en e-mail, der fremstod som værende fra Stofa. Af e-mailen fremgik, at han havde betalt 229 kr. for meget, og at han skulle klikke på det viste link for at få beløbet tilbage.

Klageren har oplyst, at han klikkede på linket, at der kom en side frem på hans iPhone, hvor han skulle give sine kortoplysninger, og at der derefter kom et ”mærkeligt” skærmbillede frem med dele af hans NemID-nøgleapp, som han havde åbnet med ansigtsgenkendelse. Klageren har anført, at han ikke godkendte betalingen i sin  NemID-nøgleapp.

Banken har oplyst, at betalingen er foretaget ved godkendelse i klagerens NemID-nøgleapp.

Banken har indhentet en udskrift af Nets’ system af teksten, der blev sendt til klagerens NemID-nøgleapp i forbindelse med godkendelse af betalingen. Af teksten fremgik:

”Betal 22719,00 DKK til [A] fra kort xx9142”

Banken har oplyst, at transaktionen var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Betalingen blev bogført på klagerens konto den 17. maj 2022.

Den samme dag indgav klageren indsigelse til banken.

I forbindelse med indsigelsessagen videresendte klageren en e-mail af 17. maj 2022 til banken. E-mailen var stilet til klageren og fremstod som værende fra Stofa. Klageren oplyste, at e-mailen af 17. maj 2022 lignede den, han havde modtaget den 12. maj 2022, og som han havde slettet. Af e-mailen af 17. maj 2022 fremgik:

”Vi informerer dig skriftligt om, at din faktura for marts måned 2022 er blevet betalt to gange ved en fejl.

Vi beklager denne forsinkelse i bekræftelsen.

Du kan anmode om en refusion ved at bekræfte dine oplysninger og fuldføre proceduren ved at klikke på følgende link:

https://minesider.stofa.dk/payment ...”

Den 19. maj 2022 godtgjorde banken klagerens tab fratrukket 8.000 kr. svarende til 14.719 kr.

Parternes påstande

Den 25. maj 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal tilbageføre hele beløbet til ham.

Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at han modtog en mail fra Stofa, hvoraf det fremgik, at han havde betalt 229 kr. for meget, og at han skulle trykke på det viste link, hvis han ville have beløbet tilbage. Han trykkede på linket, og der kom en side frem på hans iPhone, hvor han skulle give sine kortoplysninger.

Derefter kom der et ”mærkeligt” skærmbillede frem med dele af hans NemID-nøgleapp. Han låser NemID-nøgleappen op med ansigtsgenkendelse. Da vinduet med NemID-nøgleappen kom på hans telefon, så han ”nøglen” oppe i højre top. Den nederste del var et eller andet ”rod”, og der hvor man normal swiper, så han ikke. Han mener at have set et beløb formentlig 229 efterfulgt af USD, og så var han klar over, at den var gal. Han fik straks spærret NemID og kort.

Han har på intet tidspunkt swipet eller på anden måde godkendt noget i nøgleappen. Han afviser helt bestemt og på tro og love bankens påstand om, at han skulle have godkendt en betaling på 22.719 kr. til A på sin NemID-nøgleapp. Teksten: ”Betal 22719,00 DKK til [A] fra kort xx9142” så han første gang i Danske Banks brev.

Han kan i øvrigt oplyse, at der før og efter denne hændelse med phishing var flere ting på hans telefon, der ikke fungerede, som de skulle. Først efter at han slukkede og tændte telefonen, kom den op at ”køre” normalt igen.

Den 19. maj 2022 modtog han 14.719 kr. fra banken, men han ønsker hele beløbet refunderet, da han ikke har gjort noget groft uansvarligt. 

Danske Bank har til støtte for frifindelsespåstanden anført, at banken allerede har godtgjort klageren 14.719 kr., hvorfor klagebeløbet maksimalt kan udgøre 8.000 kr.

Klageren kom uforvarende via phishing til at foretage og godkende betalingen selv. Forholdet er derfor omfattet betalingslovens § 100, herunder stk. 4 omhandlende klagerens egenhæftelse på 8.000 kr.

Betalingen blev godkendt med klagerens NemID-nøgleapp, hvormed betalingen blev korrekt godkendt med stærk kundeautentifikation. Betalingen blev godkendt via klagerens NemID-nøgleapp, hvori det klart og tydeligt fremgik for klageren, at betalingsmodtageren var A, og at beløbet var 22.719,00 kr. Betalingen var korrekt registreret og bogført og var ikke ramt af tekniske svigt eller andre fejl.

Klageren kom selv til at godkende betalingen, men han burde have læst teksten i forbindelse med godkendelsen, og dermed burde han have undladt at godkende betalingen. Klageren burde have været mere skeptisk over for e-mailen, der ikke fremstod som troværdig, f.eks. i afsendermailadresse, i sprogbruget og i linket. Hvis klageren havde udvist en større grad af forsigtighed, f.eks. ved at læse teksten i NemID-nøgleappen, og været mere skeptisk over for e-mailen, så havde betalingen været forhindret.

Klageren befandt sig ikke i en presset situation svarende til f.eks. den situation, hvor misbrug sker i forbindelse med en telefonisk henvendelse.

Klageren muliggjorde således betalingen ved groft uforsvarlig adfærd, hvorfor klageren bør hæfte med 8.000 kr. selv, jf. betalingslovens § 100, stk. 4.

Danske Bank har til støtte for afvisningspåstanden anført, at klagerens påstand om, at han ikke foretog betalingen, ikke hænger sammen med det faktiske hændelsesforløb, herunder at betalingen blev autoriseret med klagerens NemID-nøgleapp. En vurdering af sagen vil derfor kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Den 12. maj 2022 blev klagerens kort anvendt til en betaling til en betalingsmodtager, A, på 22.719 kr., som klageren ikke kan vedkende sig.

Klageren har oplyst, at baggrunden for betalingen var, at han den samme dag modtog en e-mail, der fremstod som værende fra Stofa, og hvoraf det fremgik, at han havde betalt 229 kr. for meget, og at han skulle trykke på det viste link. Han trykkede på linket. Der kom en side frem på hans iPhone, hvor han skulle give sine kortoplysninger. Klageren har anført, at han ikke godkendte betalingen i sin NemID-nøgleapp. Banken har anført, at klageren godkendte transaktionen i sin NemID-nøgleapp.

Klageren gjorde indsigelse mod transaktionen over for banken, der godtgjorde klageren 14.719 kr., svarende til det betalte beløb fratrukket 8.000 kr.

Den omtvistede betaling med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Henrik Waaben, Karin Duerlund og Kritte Sand Nielsen – udtaler:

Vi lægger til grund, at klageren må have godkendt betalingen på 22.719 kr. i sin NemID-nøgleapp.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i NemID-nøgleappen, hvor han fik oplysninger om beløbet på 22.719 kr. og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Poul Erik Nielsen – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr., jf.  betalingslovens § 100, stk. 3.  

Vi stemmer derfor for, at banken skal tilbageføre 7.625 kr. til klageren.  

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.