Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod hæftelse for 8.000 DKK af en korttransaktion i forbindelse med modtagelse af phishingmail.

Sagsnummer: 747/2023
Dato: 14-06-2024
Ankenævn: Henrik Waaben, Jonas Thestrup Nielsen, Karin Sønderbæk, Rolf Høymann Olsen og Ann-Mari Faldt Agerlin.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod hæftelse for 8.000 DKK af en korttransaktion i forbindelse med modtagelse af phishingmail.
Indklagede: Fynske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af phishingmail.

Sagens omstændigheder

Klageren var kunde i Fynske Bank, hvor han havde et Visa/dankort -3237.

Den 22. november 2023 blev der foretaget en kortbetaling på 2.435 EUR svarende til 18.341,32 DKK til en udenlandsk betalingsmodtager, S, som klageren ikke kan vedkende sig. Betalingen blev bogført den 24. november 2023.

Klageren har oplyst, at baggrunden for betalingen var, at han skulle godkende en porto på 39 DKK til firmaet Proshop. I det splitsekund, han godkendte med MitID, ændrede beløbet sig til 2.435 EUR. Ændringen fremgik ikke af skærmen.   

Banken har oplyst at betalingen blev foretaget i klagerens MitID-app. Banken har fremlagt en meddelelse fra Nets med teksten, der blev sendt til klagerens MitID-app i forbindelse med godkendelsen af betalingen. Af teksten fremgik:

”Betal 2435,00 EUR til [S] fra kort xx3237.”

 

Banken har oplyst, at transaktionen var korrekt registeret og bogført og ikke er ramt af tekniske svigt eller andre fejl, og at klageren har oplyst, at baggrunden for betalingen var, at klageren havde svaret på en kundeundersøgelse modtaget på e-mail, og at klageren i den forbindelse ville betale porto for en forsendelse fra firmaet Proshop. 

Klageren har fremlagt en meddelelse fra Proshop med følgende tekst:

”Der florerer desværre nogle falske kundeundersøgelser, der bruger Proshops navn og logo. Disse mails inviterer til en kundeundersøgelse og bagefter kan man vælge et produkt til kr. 1.200,- som tak for hjælpen. Man bliver oplyst om, at man skal betale for fragten på kr. 39,-. Hvis man taster sine persondata ind, hæver svindlerne beløbet til € 2.200 sekundet, inden man betaler.

Grafikken og logo i den falske undersøgelse er en kopi af vores, og teksten på disse falske mails er på dansk. Mail-afsenderen og web-adressen viser dog, at det ikke er Proshop, som er afsender. Er man kommet til at gennemføre og har overført penge i sådan mail, så skal man straks lave en indsigelse til banken.”

 

 

Klageren fremsatte indsigelse til banken den 4. december 2023. I forbindelse med indsigelsen oplyste han, at han ikke foretog transaktionen og ikke kendte til transaktionen.

Banken har oplyst, at banken den 5. december 2023 anmodede klageren om yderligere oplysninger, og at klageren samme dag svarede, at han ikke kendte til transaktionen og havde svaret på en kundetilfredshedsundersøgelse.

Den 7. december 2023 meddelte banken, at klageren hæftede for 8.000 DKK, og at banken havde indsat 10.341,32 DKK på hans konto.

Parternes påstande

Den 13. december 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Fynske Banks selvrisiko på 8.000 DKK skal bortfalde.

Fynske Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at der er foretaget en transaktion på 2.435 EUR uden hans kendskab.

I det splitskud han godkendte med MitID ændrede beløbet sig til 2.435 EUR som ikke fremgik af skærmen. Yderligere så han intet alarmerende.

Ved godkendelsen af transaktionen stod der noget om post og et beløb på 39 DKK, og ikke det som fremgår af udskriften fra Nets. Hvis det var tilfældet, så havde han reageret straks.

I henhold til meddelelsen fra Proshop fremgik det, at svindlerne ændrede beløb og tekst i transaktionen i det sekund, han godkendte transaktionen.

Der ønskes fuld erstatning, herunder at selvrisikoen bortfalder, da han ikke har optrådt uforsigtigt.

Fynske Bank har til støtte for frifindelsespåstanden anført, at klageren blev præsenteret for teksten ”Betal 2435,00 EUR til [S] fra kort xx3237”. Klageren blev præsenteret for betalingen med præcis angivelse af beløb og beløbsmodtager, og der er derfor ikke tvivl om, at klageren godkendte betalingen.  

Transaktionen var korrekt registeret og bogført og er ikke ramt af tekniske svigt eller andre fejl.

Udskrifterne på MitID viser, at godkendelsen af betalingen på Mitid blev godkendt fra samme enhed, som klageren brugte til at logge på sin netbank/mobilbank.

På baggrund af omstændighederne om det oplyste forud for selve godkendelsen samt i forbindelse med selve godkendelsen af betalingen i MitID-appen, hvor det fremgår, hvilket beløb der er oplyst i MitID ved godkendelsen, er det bankens opfattelse, at transaktionen er omfattet af formålet med betalingslovens § 100, stk. 4, nr. 3, hvorfor banken var berettiget til at tage en selvrisiko på 8.000 DKK.  

Ankenævnets bemærkninger

Klageren var kunde i Fynske Bank, hvor han havde et Visa/dankort -3237.

Den 22. november 2023 blev der foretaget en kortbetaling på 2.435 EUR svarende til 18.341,32 DKK til en udenlandsk betalingsmodtager, S, som klageren ikke kan vedkende sig. Betalingen blev bogført den 24. november 2023.

Klageren har oplyst, at baggrunden for betalingen var, at han skulle godkende en porto på 39 DKK til firmaet Proshop. I det splitsekund han godkendte med MitID ændrede beløbet sig til 2.435 EUR. Ændringen fremgik ikke af skærmen.  

Banken har dækket klagerens tab med fradrag af 8.000 DKK.

Banken har anført, at klageren selv godkendte betalingen i sin MItID-app, hvor beløb og beløbsmodtager fremgik ved godkendelsen.

Det lægges til grund, at transaktionen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Henrik Waaben, Jonas Thestrup Nielsen og Karin Sønderbæk – udtaler:

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 2.435 EUR i sin MitID-app.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID-appen, hvor han fik oplysninger om beløbet på 2.435 EUR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Rolf Høymann Olsen og Ann-Mari Faldt Agerlin – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren med 375 DKK jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klagen.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i sagen.