Indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af phishingmail.

Sagsnummer:667/2023
Dato:06-05-2024
Ankenævn:Vibeke Rønne, Jonas Thestrup Nielsen, Kritte Sand Nielsen og Elizabeth Bonde.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af phishingmail.
Indklagede:Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af phishingmail.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor han havde et kreditkort.

Mandag den 25. september 2023 blev der foretaget en kortbetaling på 21.999 kr. med klagerens kort til en betalingsmodtager, K, som klageren ikke kan vedkende sig.

Klageren har oplyst, at baggrunden for betalingen var, at han modtog en e-mail, der så ud til at være fra PostNord, og at han i den forbindelse forsøgte at betale et beløb på 31 kr. til PostNord.

Klageren har anført, at han den 23. september 2023, da han efter flere forsøg på at godkende transaktionen gennem MitID, hvor hans cursor kørte uden at stoppe, blev mistænksom og kontaktede Danske Banks Døgnservice lørdag den 23. september 2023 kl. 19.20. Efter en 37 minutters telefonsamtale anbefalede banken, at han forsøgte at foretage betalingen igen mandag 25. september 2023.

Banken har anført, at der ikke er registeret telefonisk samtale mellem klageren og Danske Bank i bankens interne systemer, og at banken ligeledes ingen optagelser har af telefonsamtale med klageren den 23. september 2023.

Banken kan på denne baggrund ikke afvise hans oplysninger om, at banken på trods af, at han selv var mistænksom, anbefalede, at han forsøgte at gennemføre betalingen den efterfølgende dag.

Klageren har anført, at betalingen gik igennem mandag den 25. september 2023, uden at han så, at beløbet var blevet ændret til 21.999 kr.

Banken har oplyst, at betalingen blev foretaget ved godkendelse i klagerens MitID-app, der var installeret på klagerens telefon den 8. maj 2022. Banken har fremlagt en udskrift fra MitId med teksten, der blev sendt til klagerens MitID-app i forbindelse med godkendelse af betalingen. Af teksten fremgik:

”Betal 21.999 kr. til [K] fra kort xx8573”

Banken har oplyst, at transaktionen var korrekt registreret og bogført.

Banken godtgjorde klagerens tab på 21.999 kr. fratrukket 8.000 kr., svarende til 13.999 kr.

Parternes påstande

Den 3. november 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal tilbageføre de resterende 8.000 kr. til ham.

Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at han modtog en e-mail fra, hvad han troede var PostNord, angående en opkrævning på 31 kr. Efter flere forsøg på at godkende i MitID blev han mistænksom, hvorfor han kontaktede Danske Banks Døgnservice lørdag den 23. september 2023 kl. 19.20 på telefonnummer 70123456. Telefonsamtalen med en medarbejder fra banken varede 37 minutter.

I løbet af samtalen lyttede medarbejderen til hans bekymringer og anbefalede, at han forsøgte at foretage betalingen igen den 25. september 2023. Betalingen gik igennem den 25. september 2023, og uden han så det, var beløbet blevet ændret til 21.999 kr.

Efterfølgende kontaktede han Danske Banks indsigelsesafdeling, hvor en medarbejder oplyste ham om, at opkrævninger fra PostNord normalt ikke er på 31 kr., men typisk mindst 160 kr.  

Medarbejderen fra Danske Banks Døgnservice burde have oplyst, at henvendelser fra PostNord bliver brugt af svindlere, og banken burde havde anbefalet at afbryde transaktionen, hvorfor banken bør erstatte de resterende 8.000 kr.

Danske Bank har til støtte for frifindelsespåstanden anført, at klageren selv videregav sine kortoplysninger til tredjemand, hvilket muliggjorde betalingsanmodningen.

Klageren har oplyst, at han selv godkendte betalingen med sit MitID-app. Betalingen blev godkendt med stærk kundeautentifikation.

Betalingen blev godkendt via klagerens MitID-app, hvori det klart og tydeligt fremgik, hvem betalingsmodtageren var, og at beløbet var 21.999 kr. Klageren befandt sig ikke i en presset situation ved udleveringen af sine kortoplysninger, da klageren godkendte betalingen. Banken har godtgjort klageren den del af beløbet, der overstiger 8.000 kr. Klageren har ved groft uforsvarlig adfærd muliggjort betalingen, hvorfor klageren bør hæfte med 8.000 kr. selv, jf. betalingslovens § 100, stk. 4.

Klagerens påstand om, at han ikke foretog betalingen, hænger ikke sammen med det faktiske hændelsesforløb, herunder at betalingen blev autoriseret med klagerens MitID-app, som var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen.

Banken har ikke registeret en telefonisk samtale mellem klageren og Danske Bank i sine systemer og har ligeledes ingen optagelser af telefonsamtalen med klageren den 23. september 2023.

Banken kan på denne baggrund ikke afvise klagerens oplysninger om, at banken på trods af, at klageren selv var mistænksom, anbefalede, at klagerens forsøgte at gennemføre betalingen den efterfølgende dag. Banken finder det usandsynligt, at banken ville have anbefalet dette, såfremt klageren havde forklaret banken om omstændighederne vedrørende betalingen og sine egne betænkeligheder.

Danske Bank har til støtte for afvisningspåstanden anført, at en vurdering af sagen vil kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Den 25. september 2023 blev der foretaget en kortbetaling på 21.999 kr. med klagerens betalingskort til en betalingsmodtager, K, som klageren ikke kan vedkende sig.

Klageren har oplyst, at baggrunden for betalingen var, at han havde modtaget en e-mail, der fremstod som værende fra PostNord med en opkrævning på 31 kr. Klageren har anført, at han forsøgte at betale til PostNord. Han kontaktede banken, da han blev mistænkelig fordi cursoren kørte uden at stoppe, da han skulle til at godkende betalingen i sit MitID.

Banken har dækket klagerens tab med fradrag af 8.000 kr.

Den omtvistede betaling med klagerens kort blev godkendt i MitID-app.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer - Vibeke Rønne, Jonas Thestrup Nielsen og Kritte Sand Nielsen - udtaler:

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 21.999 kr. i sin MitID-app. Vi har herved lagt vægt på, at transaktionen blev godkendt med klagerens MitID-app, som var installeret på klagerens telefon den 8. maj 2022 og på udskriften fra MitID.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have regeret på teksten i MitID-appen, hvor han fik oplysninger om beløbet på 21.999 kr. og beløbsmodtager. Klageren hæfter som følge heraf med op til 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

Et medlem - Elizabeth Bonde, der i medfør af Ankenævnets vedtægter § 16 er tillagt to stemmer - udtaler:

Som ovenfor anført finder jeg det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Jeg finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbrugere at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Jeg finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen. Det bemærkes herved, at klageren godkendte transaktionen efter anbefaling fra banken.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Jeg finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Jeg finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren 375 kr., jf. betalingslovens § 100, stk. 3.

Jeg stemmer derfor for, at banken skal tilbageføre 7.625 kr. til klagen.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i sagen.