Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for korttransaktion. Phishing.

Sagsnummer: 307/2021
Dato: 21-03-2022
Ankenævn: Henrik Waaben, Bjarke Svejstrup, Karin Duerlund, Morten Bruun Pedersen, Finn Borgquist
Klageemne: Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst: Indsigelse mod at hæfte for korttransaktion. Phishing.
Indklagede: Arbejdernes Landsbank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for korttransaktion. Phishing.

Sagens omstændigheder

Klageren er kunde i Arbejdernes Landsbank, hvor han har et Mastercard.

Den 31. maj 2021 kl. 19.16 blev klagerens Mastercard anvendt til en betaling til en betalingsmodtager, E, på 1.064.000 Vestafrikanske CFA-franc (XOF), svarende til 12.462,95 DKK, som klageren ikke kan vedkende sig.

I sagen er fremlagt et skærmprint af en sms sendt til klageren den 31. maj 2021 kl. 19.02. Sms’en fremstod som værende fra et postfirma, P, og indeholdt et link. I sms’en blev klageren anmodet om at bekræfte et forsendelsesgebyr på 24,56 DKK. Klageren har oplyst, at han ventede på en pakke, som skulle leveres fra udlandet. Han klikkede på linket i sms’en og indtastede sine oplysninger. Klageren har anført, at han på intet tidspunkt godkendte en betaling på 1.064.000 XOF eller 12.462,95 DKK.

Banken har oplyst, at betalingen blev godkendt i klagerens NemID-nøgleapp. Banken har fremlagt udskrifter fra Nets vedrørende gennemførelse og autentifikation af transaktionen, herunder den tekst, som blev præsenteret i NemID-nøgleapp, og som indeholdt følgende:

”Betal 1064000 XOF til [E] fra kort xx9082”

Banken har endvidere fremlagt udskrift af klagerens NemID hændelseslog samt bankens brugerregler for AL- Mastercard Cash.

Klageren indgav indsigelse til banken. I indsigelsesblanketten anførte klageren blandt andet:

”… Jeg modtog en sms fra [P] angående betaling for modtagelse af en pakke. Jeg fulgte linket, da jeg ventede en pakke på daværende tidspunkt.

Jeg indtastede mine oplysninger, og så senere på dagen at der var reserveret et stort beløb som jeg ikke kendte til. …”

Klageren har oplyst, at han straks forsøgte at kontakte banken telefonisk, da han så, at beløbet var reserveret. Han kunne først få kontakt med banken den næste morgen, hvor banken oplyste, at det ikke var muligt at undgå, at det reserverede beløb blev hævet.

Den 7. juni 2021 oplyste klageren til banken:

”Efter jeg klikket på linket, åbnet en hjemmeside som lignede [P’s] hvor jeg skulle indtaste mine kortnummer. Hvorfor efter jeg trykket næste, og så blev siden sort/blank. …. Jeg tastet kortnummer, udløbsdato, kontrolcifre 2 gange. ! gang skulle jeg godkende med NEM-ID, hvilket ikke lykkes og gentog det en gang til.  … Jeg opbevarer mit nøglekort i min pung og har installeret NEM-ID nøgleapp på min telefon, som logger automatisk ind, hvor der skal bruges fingeraftryk. … ”

Klageren indgav endvidere anmeldelse til politiet.

Parternes påstande

Den 5. juli 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Arbejdernes Landsbank skal tilbageføre 12.462,95 DKK til ham.

Arbejdernes Landsbank har nedlagt påstand om principalt frifindelse, subsidiært afvisning og mere subsidiært, at klageren skal hæfte for 8.000 DKK.

Parternes argumenter

Klageren har blandt andet anført, at han havde ventet længe på en pakke fra udlandet. Han gik derfor ud fra, at sms’en fra P angik denne pakke. Han har på intet tidspunkt haft grund til at tro andet.

Han klikkede på linket og gennemgik de trin, han blev bedt om. Han godkendte sms’en to gange, da den første gang ikke gik igennem. Han skulle indtaste kortoplysninger først, navn på kortet, udløbsdato samt CVC kode. På intet tidspunkt så han beløbet på 12.462,95 DKK, som senere blev reserveret, eller beløbet på 1.064.000 XOF, som banken beskriver. Han ville aldrig have godkendt beløbet, hvis han kendte dets størrelse. Han lider af Aspergers, så han er meget detaljeorienteret og ved, hvad han har set og ikke set. Han kan med garanti sige, at det store beløb ikke fremgik.

Banken afviste hans indsigelse med påstand om, at han kunne se beløbet hele vejen igennem, og at han selv godkendte med 3D Secure, hvilket han ikke har gjort. Han har gentagne gange forgæves anmodet om at få sendt dokumentation for dette, men har ikke set dokumentation herfor.

Han fik et chok, da det store beløb var reserveret. Han forsøgte straks at kontakte banken telefonisk. Det var først muligt at få telefonisk kontakt med banken næste dag kl. 8. Han spurgte, om banken kunne undgå, at det reserverede beløb blev hævet, men banken oplyste, at dette ikke var muligt.

Det fremgår af bankens vilkår, at han kan få sine penge retur. Han har overholdt bankens kortregler.

Han har handlet i god tro og er blevet narret af it-kriminelle fra Afrika.

Hans sag ligner ikke Ankenævnets sag nr. 17/2020. I hans sag er der ikke tale om et vildt tilbud om flybilletter til 80 DKK. Han ventede faktisk på en pakke. Hans sag ligner Ankenævnets sag nr. 16/2020.

Arbejdernes Landsbank har til støtte for frifindelsespåstanden anført, at der ingen tegn er på, at andre har haft klagerens NemID oplysninger eller kortoplysninger. Der blev ikke forsøgt gennemført andre transaktioner med klagerens NemID eller andre betalinger på klagerens kort, bortset fra klagerens egen betaling til et teleselskab, som blev afvist, da kortet var spærret.

Nets har oplyst, at betalingen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.

Betalingen blev godkendt med klagerens NemID-nøgleapp på klagerens mobiltelefon. Betalingen blev godkendt i henhold til aftale mellem klageren og banken, jf. bankens regler for Mastercard, og er således autoriseret, hvorfor betalingslovens hæftelses- og ansvarsregler ikke finder anvendelse.

Hvis Ankenævnet finder, at der er tale om en uautoriseret betalingstransaktion, hæfter klageren for det fulde beløb, jf. betalingslovens § 100, stk. 5. Klagerens godkendelse af betalingen via sin NemID-nøgleapp, hvor både beløb og beløbsmodtager tydeligt oplyses, må sidestilles med udlevering af den personlige sikkerhedsforanstaltning til tredjemand under omstændigheder, hvor klageren indså eller burde have indset, at der var risiko for misbrug.

Det må som minimum kunne forventes, at kortholder læser teksten i nøgleappen, inden kortholder swiper og godkender en betalingstransaktion. Hvis kortholder ikke gør dette, er der indlysende risiko for misbrug. Klageren har oplyst, at han ved godkendelse af betalingstransaktionen ikke blev oplyst om beløb og valuta. En betaling kan ikke gennemføres, uden at disse oplysninger stilles til rådighed. Kortholder bliver præsenteret for beløbsmodtagers navn, beløb og valuta tre gange - første gang når kortholder skal indtaste sit bruger-/cpr-nummer og kodeord, anden gang når kortholder skal trykke, om kortholder vil godkende transaktionen med NemID-nøgleapp eller sms-kode og tredje gang, når betalingen godkendes med NemID-nøgleapp.

Klageren befandt sig ikke i en presset situation, jf. tilsvarende Ankenævnets afgørelse nr. 17/2020. Sagen er ikke sammenlignelig med den af klageren påberåbte afgørelse nr. 16/2020 fra Ankenævnet om godkendelse via sms kode, og hvor Ankenævnet lagde vægt på, at det som følge af sms’ens udformning var muligt at anvende koden uden at læse oplysninger om beløb og betalingsmodtager.

Arbejdernes Landsbank har til støtte for afvisningspåstanden anført, at en afklaring af klagerens forsæt og burde-viden kræver en parts- og vidneforklaring, som medfører, at sagen ikke er egnet til behandling for Ankenævnet.

Arbejdernes Landsbank har til støtte for sin mere subsidiære påstand anført, at klageren skal hæfte for 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3. I sms’en blev klageren uden nærmere forklaring afkrævet et forsendelsesgebyr. Klageren burde have undret sig over, at han skulle betale for at modtage en pakke, som han ikke var sikker på, at han havde bestilt. Klageren burde have undersøgt baggrunden for opkrævningen, inden han uden nærmere overvejelser og begrundelse indvilligede i at betale.

Det er groft uforsvarlig adfærd, at klageren indtastede sine kortoplysninger på hjemmesiden og efterfølgende godkendte transaktionen via sin NemID-nøgleapp trods de tydelige informationer om, at han var i gang med at godkende en betaling på 1.064.000 XOF til en anden end P.

Ankenævnets bemærkninger

Klageren har gjort indsigelse mod en korttransaktion på 1.064.000 Vestafrikanske CFA-franc (XOF), svarende til 12.462,95 DKK foretaget den 31. maj 2021 kl. 19.16 til en betalingsmodtager, E.

I sagen er fremlagt et skærmprint af en sms sendt til klageren den 31. maj 2021 kl. 19.02. Sms’en fremstod som værende fra et postfirma, P, og indeholdt et link. I sms’en blev klageren anmodet om at bekræfte et forsendelsesgebyr på 24,56 DKK. Klageren har oplyst, at han ventede på en pakke, som skulle leveres fra udlandet. Han klikkede på linket i sms’en og indtastede sine oplysninger. Han skulle godkende med NemID, hvilket ikke lykkedes, hvorfor han gentog processen. Klageren har anført, at han på intet tidspunkt så eller godkendte beløb/betaling på 1.064.000 XOF eller 12.462,95 DKK.

Arbejdernes Landsbank har oplyst, at den omtvistede betaling blev foretaget ved godkendelse i klagerens NemID-nøgleapp.

Klageren har anført, at han ikke godkendte betalingen på 1.064.000 XOF (12.462,95 DKK) til E.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen.

Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.

Det fremgår af forarbejderne til betalingslovens § 100, stk. 5 (lovforslag nr. L157 af 15. marts 2017), at hæftelse uden beløbsbegrænsning ikke finder anvendelse, hvis den personlige sikkerhedsforanstaltning uforvarende er overladt til andre, eksempelvis i forbindelse med phishing, idet betaleren ikke har overdraget den personlige sikkerhedsforanstaltning med forsæt til, at der skal foretages den uberettigede anvendelse.

Ankenævnet finder, at klageren har været udsat for phishing. Ankenævnet finder, at banken ikke har godtgjort, at betingelserne for, at klageren hæfter uden beløbsbegrænsning efter betalingslovens § 100, stk. 5, er opfyldt.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Henrik Waaben, Bjarke Svejstrup og Karin Duerlund – udtaler:

Vi lægger til grund, at klageren må have godkendt betalingen på 1.064.000 XOF i sin NemID-nøgleapp. Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i NemID-nøgleappen, hvor han fik oplysninger om beløbet på 1.064.000 XOF og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi finder, at banken herefter skal tilbageføre differencen på 4.462,95 DKK til klagerens konto med valør fra datoen for debitering af transaktionen.

To medlemmer – Morten Bruun Pedersen og Finn Borgquist – udtaler:

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4 er opfyldt.

Vi stemmer derfor for, at klageren får medhold i klagen.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Banken skal inden 30 dage tilbageføre 4.462,95 DKK til klagerens konto med valør fra datoen for debitering af transaktionen.

Klageren får klagegebyret tilbage.