Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod hæftelse for 8.000 kr. af korttransaktion i forbindelse med modtagelse af phishing-SMS.

Sagsnummer: 51/2024
Dato: 19-08-2024
Ankenævn: Vibeke Rønne, Mette Lindekvist Højsgaard, Jimmy Bak, Morten Bruun Pedersen og Ann-Mari Agerlin.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod hæftelse for 8.000 kr. af korttransaktion i forbindelse med modtagelse af phishing-SMS.
Indklagede: Nordea Danmark
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod hæftelse for 8.000 kr. af korttransaktion i forbindelse med modtagelse af phishing-SMS.

Sagens omstændigheder

Klageren var kunde i Nordea Bank, hvor hun havde et betalingskort -5954.

Den 17. december 2023 blev der foretaget en kortbetaling på 15.424,59 kr. med klagerens kort til en betalingsmodtager, L, som klageren ikke kan vedkende sig.

I forbindelsen med indsigelsen har klageren medtaget en transaktion fra den 19. december 2023 på 347,43 kr. Banken har pr. kulance valgt at godtgøre klageren den del.

Klageren har oplyst, at baggrunden for betalingen var, at hun modtog en falsk SMS fra Bruger ID vedrørende begrænsninger på MobilePay. Af SMS-beskeden fremgik følgende:

”Vi har begrænset visse funktioner på din Mobile-Pay-konto på grund af mistænkelig aktivitet: [link]”

Klageren har oplyst, at hun tilgik linket via SMS-beskeden og indtastede sine kortoplysninger, hvor hun derefter fik tilsendt en aktiveringskode fra, hvad hun troede var MobilePay. Af SMS-beskeden fremgik:

”Din aktiveringskode fra MobilePay er: …887 Koden er personlig, så del den ikke med nogen. SMS ID: mp83691”

I forbindelse med indsigelsen har klageren oplyst:

”Jeg klikkede mig ind på det medsendte link, hvor jeg udfyldte mine kortoplysninger. Herefter fik jeg tilsendt en aktiveringskode fra "Mobilpay", … Dernæst skrev jeg aktiveringskoden ind og godkendte med MitID. Til sidst på aftenen sendte jeg min søn 1 kr. for at tjekke op på, at mit mobilpay nu fungerede.”

Banken har oplyst, at betalingen blev godkendt i klagerens MitID-app -4546, der var installeret og aktiveret på klagerens iphone 15,5 den 13. december 2023. Banken har fremlagt en udskrift fra MitID med teksten, der blev sendt til klagerens MitID-app i forbindelse med godkendelse af betalingen. Af teksten fremgik:

”Betal 15424,59 DKK til [L] fra kort xx5954”

Banken har oplyst, at transaktionen var korrekt registreret og bogført.

Klageren gjorde indsigelse mod betalingen.

Banken godtgjorde klageren 7.424,59 kr. og meddelte klageren, at hun selv hæftede for en selvrisiko på 8.000 kr.

Parternes påstande

Den 25. januar 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal refundere 8.000 kr.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun ikke har muliggjort misbruget ved groft uforsvarlig adfærd, da hun hverken har modtaget eller godkendt en besked med følgende ordlyd ”Betal 15424,59 DKK til [L] fra kort xx5954” på sin MitID app på telefonen.

Der er konkrete forhold, som bør føre til en formildende vurdering af hendes adfærd er, at hun en uge forinden havde fået en ny telefon, hvilket gjorde hende særligt tilbøjelig til at tro, at hun skulle gennemgå en verificeringsproces med MobilePay. Banken har ikke fremlagt bevis for, at hun havde godkendt en transaktion med beløb og modtager. De særlige omstændigheder, der gjorde hende sårbar over for misbrug af denne karakter er, at hun ikke havde muliggjort misbruget ved groft uforsvarlig adfærd.

Banken fik mistanke om, at hendes konto blev misbrugt den 17. december 2023 kl. 23:00 fra et rumænsk nummer, hvorefter banken på eget initiativ spærrede hendes konto og bad hende om at tage kontakt, hvilket hun straks gjorde dagen efter. Beløbet på 15.772,02 kr. blev dog først trukket fra kontoen over to transaktioner henholdsvis den 19. december 2023 og 20. december 2023. Banken tillod transaktionen at gå igennem.

Nordea Danmark, har anført, at klageren har godkendt betalingen via MitID-app med hendes egen enhed der var aktiveret den 13. december 2023, hvor hun blev præsenteret for en tydelig tekst vedrørende betalingstransaktionen. Klageren har selv foretaget godkendelsen af betalingen. Klagerens identifikationsmiddel med nummeret -546 godkendte overførslen på 15.424,59 kr.

Klageren valgte at godkende et beløb på 15.424,59 kr. Selve godkendelsen af betalingen i MitID-app’en er en groft uforsvarlig adfærd fra klagerens side, idet hun via teksten heri var tydeligt oplyst om betalingens størrelse og modtager heraf, hvorfor banken er berettiget til at tage en selvrisiko på 8.000 kr., jf. Betalingsloven § 100, stk. 4, nr. 3.

Nordea har godtgjort klageren pr. kulance den del af betalingen på 347,43 kr.

Ankenævnets bemærkninger

Klageren var kunde i Nordea Bank, hvor hun havde et betalingskort -5954.

Den 17. december 2023 blev der foretaget en kortbetaling på 15.424,59 kr. med klagerens kort til en betalingsmodtager, L, som klageren ikke kan vedkende sig.

Klageren har oplyst, at baggrunden for betalingen var, at hun modtog en falsk SMS fra Bruger ID vedrørende begrænsninger på MobilePay.

Banken har dækket klagerens tab med fradrag af 8.000 kr.

Banken har oplyst, at betalingen blev godkendt med MitID-app, som var installeret på klagerens enhed den 13. december 2023.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Vibeke Rønne, Mette Lindekvist Højsgaard og Jimmy Bak – udtaler:

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 15.424,59 kr. i sin MitID-app.

Vi finder, at banken herved har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID-appen, hvor hun fik oplysninger om beløbet på 15.424,59 kr. og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 kr.

To medlemmer – Morten Bruun Pedersen og Ann-Mari Agerlin – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Vi finder ikke, at sparekassen har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr., jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.625 kr. til klageren

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i sagen.