Indsigelse mod at hæfte for misbrug af betalingskort som følge af, at SMS-engangskode blev anvendt, uden at den fulde SMS-tekst blev læst.

Sagsnummer:16/2020
Dato:19-08-2020
Ankenævn:Vibeke Rønne, Inge Kramer, George Wenning, Morten Bruun Pedersen og Poul Erik Jensen
Klageemne:Betalingstjenester - groft uforsvarlig adfærd
Betalingstjenester - ikke groft uforsvarlig adfærd
Betalingstjenester - ubegrænset hæftelse
Ledetekst:Indsigelse mod at hæfte for misbrug af betalingskort som følge af, at SMS-engangskode blev anvendt, uden at den fulde SMS-tekst blev læst.
Indklagede:Bank Norwegian
Øvrige oplysninger: IF
Senere dom:
Pengeinstitutter

Klager medhold.

Indledning

Sagen vedrører indsigelse mod at hæfte for misbrug af betalingskort som følge af, at SMS-engangskode blev anvendt, uden at den fulde SMS-tekst blev læst.

Sagens omstændigheder

Klageren havde et kreditkort, der var udstedt af Bank Norwegian. Til kortet var der knyttet en kredit på 20.000 kr.

Klageren har oplyst, at han den 12. december 2019 modtog en mail, som han anså for at komme fra et flyselskab, F, som han ofte havde benyttet. Ifølge mailen kunne han få en billig flybillet ved at indbetale 80 kr. Han fulgte et link i mailen og betalte 80 kr. med kortet. Ved betalingen anvendte han en engangskode, som han modtog pr. SMS.

Den 13. december 2019 blev der på klagerens konto bogført en transaktion på 19.655,30 kr. med rentedato/valør den 1. januar 2020. Ifølge posteringsteksten var betalingsmodtageren en sportsbutik med navnet A.

Banken har oplyst, at transaktionen var på 26.973 svenske kroner (SEK), svarende til 19.655,30 danske kroner (DKK). Transaktionen blev autoriseret med 3D Secure/Verified by VISA. Den 12. december 2019 kl. 09.41.01 blev der til klagerens telefonnummer pr. SMS sendt til en engangskode, som klageren samme dag kl. 09.41.26 anvendte til at autorisere transaktionen. Teksten i SMS’en var følgende:

”[…] Engangskode: […]. Til brug for køb på 26.973,00 SEK hos [sportsbutik med navnet B]. Kontroller, at beløb og brugersted er korrekt.[…]”

Klageren har oplyst, at han den 20. december 2019 opdagede, at der ikke var trukket 80 kr. til F, men i stedet 19.655,30 kr. til A.

Den 20. december 2019, anmodede klageren A om at tilbageføre transaktionen. A svarede ved en e-mail samme dag:

”…

Som beskrevet i vores telefonsamtale, kan jeg ikke betale dig dette beløb retur. Pengene er ikke indbetalt til os, men jeg kan bekræfte at det er vores firmanavn og telefonnummer der er blevet påført

Vi har som sagt, intet med dette at gøre.

Beklager mange gange at vi ikke kan hjælpe dig

…”

Ligeledes samme dag gjorde klageren indsigelse mod transaktionen over for banken.

Ved en e-mail af 7. januar 2020 til klageren anmodede banken klageren om at redegøre for, hvorfor han havde autoriseret transaktionen, når beløbet og salgsstedet ikke stemte overens med et køb på 80 kr. hos F. Samme dag svarede klageren:

”…

Jeg kan kun redegøre for at det er min overbevisning, at jeg har godkendt en transaktion på 80 DKK og kun det.

Når der kommer en sms med engangskode dukker første linje op med koden, som så kan bruges uden at læse sms’en. Det kan sagtens være det der er sket.

Havde jeg været skeptisk var det ikke sket, men må desværre indrømme at jeg blev taget med paraderne helt nede.

…”

Ved e-mail af 8. januar 2020 til klageren, afviste banken klagerens indsigelse. Banken anførte blandt andet:

”…

Banken kommer ikke til at dække dit tab, men vi holder dig ansvarlig for det bestridte beløb.

Verified by VISA

Den indklagede transaktion er foretaget med en sikker betalingsløsning over internettet (Verified by VISA). Det vil sige, at der er benyttet dine kortoplysninger, kortets udløbsdato, kontrolkoden og den SMS-kode, der er sendt til dit telefonnummer den 12. december 2019, klokken 09:41:01.

Sagens oplysninger

Du oplyser, at du formentlig har tastet engangskoden fra SMS'en for at godkende transaktionen.

Du har også oplyst, at du ikke har mistet dit Norwegian-kort eller at det har været andre i hænde.

Bankens vurdering

De nødvendige oplysninger til at foretage den ovennævnte sikre transaktion på internettet blevet videregivet til uvedkommende. Herunder er koden i SMS'en blevet videregivet. Hvis ikke koden fra SMS'en var videregivet, så var det ikke muligt at gennemføre den bestridte transaktion.

Ved et internetkøb med en sikker betalingsløsning har salgsstedet erhvervet ret til betalingen. Bank Norwegian har således ikke mulighed for at sende dit krav videre til VISA for refundering fra salgsstedet.

Det fremgik af den fremsendte SMS hvilket køb, herunder beløb og brugersted, som den skulle benyttes til at godkende.

Det er derfor vores opfattelse, at du selv har forårsaget tabet på din konto ved en forsætlig handling.

Vi mener, at du ved modtagelsen af SMS'en burde have indset, at der var risiko for misbrug af dit kort. Du holdes derfor ansvarlig for hele det bestridte beløb, jf. betalingsloven § 100, stk. 5.

…”

Ved e-mail samme dag til banken anførte klageren blandt andet:

”…

Jeg vedgår, at jeg ikke var 100 % opmærksom, men når jeg modtager en mail fra [F] (eller udgiver sig for at være fra [F)] og ud fra den accepterer at betale 80 DKK har jeg ingen forventning om at blive trukket for et andet beløb og har derfor ikke kontrolleret hele den sms jeg fik, men blot indtastet engangskoden, som står i øverste linje, hvorfor det ikke var åbenlyst nødvendigt at åbne sms’en.

…”

Klageren påberåbte sig endvidere punkt 19 b) i bankens Aftalevilkår for kreditkort – forbrugervilkår. I punkt 19 i vikårene stod der følgende:

”…

19. Tilbagebetaling, når det nøjagtige beløb ikke er godkendt

Kortindehaveren kan kræve tilbagebetaling af det fulde beløb for en betalingstransaktion, der er initieret af eller via betalingsmodtageren, hvis kortindehaveren kan påvise, at:

a) kortindehaveren ikke har autoriseret det nøjagtige beløb for betalingstransaktionen, og

b) beløbet oversteg det beløb, som kortindehaveren med rimelighed kunne have forventet sig ud fra sit tidligere brugsmønster, vilkårene i rammeaftalen og de øvrige omstændigheder.

En sådan ret til tilbagebetaling gælder dog ikke, hvis kortindehaverens samtykke til betalingstransaktionen er givet direkte til Bank Norwegian, og kortindehaveren, når det er relevant, er blevet informeret om den kommende betalingstransaktion mindst fire uger før forfaldsdatoen.

Kortindehaveren skal fremsætte krav om eventuel tilbagebetaling senest otte uger efter belastningsdatoen. Inden for 10 dage efter, at kravet om tilbagebetaling er modtaget, skal Bank Norwegian enten tilbageføre det fulde beløb for betalingstransaktionen eller give et motiveret afslag på kravet med information om muligheden for at indklage sagen.

…”

Ved ene-mail af 13. januar 2020 til klageren fastholdt banken sin afgørelse og anførte:

”…

Som det fremgår af punkt a): ”kortindehaveren har ikke autoriseret det nøjagtige beløb for betalingstransaktionen”.

I dette tilfælde er transaktionen blevet autoriseret af dig, da du har videregivet engangskoden fra SMS’en.

…”

Parternes påstande

Den 13. januar 2020 har klageren indbragt sagen for Ankenævnet med påstand om, at Bank Norwegian skal godtgøre hans tab.

Bank Norwegian har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at banken bør realitetsbehandle hans klage og godtgøre hans tab, da han har handlet i god tro. Han ved ikke om det er punkt 19 b) i aftalevilkårene, der skal bruges, men det er, hvad han tror.

Engangskoden kunne læses uden at åbne SMS’en, hvilket han ikke gjorde. Den kom jo fra F, som han havde tillid til. Han havde rejst med F fem gange i 2019 og havde købt fire rejser i 2020. Derfor kontrollerede han ikke yderligere. Han troede, at han godkendte en betaling på 80 kr.

Hvis det ikke havde været muligt at se koden uden at åbne selve beskeden, var skaden aldrig sket.

I februar 2019 modtog han en SMS fra banken, der kun indeholdt en engangskode. Selvom han efterfølgende har modtaget beskeder med mere tekst, kan man ikke sige at han har handlet uforsigtigt ved ikke at have åbnet beskeden og læst hele teksten.

Banken er den professionelle part og burde have udvist rettidig omhu ved at udforme SMS’er med engangskoder således, at det ikke er muligt at se engangskoden uden at åbne beskeden. I beskeder fra Nets er det ikke muligt at se koden uden først at have åbnet beskeden.

Banken har set bort fra punkt 19 b) i aftalevilkårene, selvom han har fremhævet punktet i sine henvendelser til banken. Banken har således undladt at realitetsbehandle hele hans klage, men blot gentaget sig selv.

Bank Norwegian har anført, at klageren skal hæfte for hele den påklagede transaktion.

Transaktionen blev autoriseret af klageren selv. Der er således ikke tale om en uautoriseret transaktion. Kortnummer, udløbsdato og CVV-kode fra kortets bagside er oplyst. Transaktionen er autoriseret med en engangskode, som udelukkende er fremsendt til klageren på SMS. Klageren har også oplyst, at han selv har tastet engangskoden fra SMS’en.

Subsidiært mener banken, at klageren med forsæt har videregivet tilstrækkelige oplysninger til at gennemføre transaktionen. Klageren har videregivet sine kortoplysninger og engangskoden fra SMS, uanset at det af teksten i SMS’en klart fremgik, at koden godkender den påklagede betaling. Det fremgik også, at transaktionen var i en anden valuta, end klageren mente, at han skulle foretage en transaktion i. Derfor mener banken, at klageren har været forsætlig. Klageren valgte selv ikke at læse hele indholdet i SMS’en og valgte derved at tage en risiko, som ikke kan lægges banken til last. Klageren hæfter derfor for transaktionen, uanset om Ankenævnet måtte mene, at transaktionen er uautoriseret.

Det at læse hele indholdet i SMS’en må anses for analogt til, at klager er pligtig til at kontrollere beløbet på en betalingsterminal, før han taster sin PIN-kode og dermed godkender transaktionen.

Klageren har oplyst, at han ikke husker, om han har læst hele SMS’en. Banken mener i forlængelse heraf, at det kun vil være muligt at træffe afgørelse i sagen efter bevisførelse, herunder afgivelse af mundtlige forklaringer fra klageren og eventuelt relevante vidner under strafansvar. En sådan bevisførelse kan ikke ske for Ankenævnet, men må i givet fald må finde sted ved domstolene. Det følger af Ankenævnets vedtægter § 5, stk. 3, nr. 4, at Ankenævnet herefter må afvise sagen.

Mere subsidiært mener banken, at klageren skal hæfte med en egenandel på 8.000 kr., da han har været groft uagtsom i videregivelsen af den personlige engangskode, som blev fremsendt på SMS.

Ifølge punkt 19 i vilkårene skal klageren både kunne påvise, at han ikke har autoriseret det nøjagtige beløb, og at beløbet oversteg det forventede beløb. Klageren har oplyst, at han har autoriseret beløbet med engangskoden fra SMS. Derfor finder punkt 19 b) ikke anvendelse. Dette er også oplyst til klageren i bankens e-mail af 13. januar 2020.

Ankenævnets bemærkninger

Klageren havde et kreditkort, der var udstedt af Bank Norwegian.

Klageren har oplyst, at han den 12. december 2019 modtog en mail, som han anså for at komme fra et flyselskab, F, som han ofte havde benyttet. I mailen kunne han få en billig flybillet ved at indbetale 80 kr. Han fulgte linket i mailen og betalte de 80 kr. med kortet. Ved betalingen anvendte han en engangskode, som han modtog pr. SMS.

Den 13. december 2019 blev på klagerens konto bogført en transaktion på 19.655,30 kr. med kortet. Banken har oplyst, at transaktionen var på 26.973 svenske kroner (SEK), svarende til 19.655,30 danske kroner (DKK). Transaktionen blev autoriseret med 3D Secure/Verified by VISA. Det vil sige, at der blev benyttet klagerens kortoplysninger, kortets udløbsdato, kontrolkoden og en SMS-kode, som blev sendt til klagerens telefonnummer den 12. december 2019 kl. 09.41.01, og som klageren anvendte samme dag kl. 09.41.26.

En sportsbutik, der var anført som beløbsmodtager, oplyste på forespørgsel fra klageren, at den ikke kendte til transaktionen.

Det må lægges til grund, at klageren anvendte koden uden at læse oplysningerne i SMS’en om transaktionens størrelse og beløbsmodtageren, hvilket var muligt på grund af SMS’ens udformning.  

Det lægges til grund, at transaktionen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at beta-leren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betale-ren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands mis-brug/uberettigede anvendelse af klagerens Visa/Dankort, og at misbruget også om-fatter SMS-koden.

Ankenævnet finder, at SMS-koden var en personlig sikkerhedsforanstaltning til kortet, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.

Ankenævnet finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter den udvidede ansvarsbestemmelse i betalingslovens § 100, stk. 5 er opfyldt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3 hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Tre medlemmer – Vibeke Rønne, Morten Bruun Pedersen og Poul Erik Jensen – udtaler:

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4 er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for udformningen af SMS-beskeden med engangskoden, herunder risikoen for, at koden kan aflæses uden den medfølgende tekst.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt hæfter klageren for 375 kr. af tabet på 19.655,30 kr., jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal betale indsætte 19.280,30 kr. på klagerens konto med rentedato/valør den 1. januar 2020, svarende til rentedatoen for transaktionen på 19.655,30 kr.

To medlemmer –Inge Kramer og George Wenning – udtaler:

Vi finder, at klageren har udvist groft uforsvarlig adfærd ved ikke i sin helhed at åbne og læse den fremsendte SMS, der foruden engangskoden indeholdt oplysning om betalingsmodtager og transaktionsbeløb. Vi finder derfor, at klageren hæfter for 8.000 kr. af tabet på 19.655,30 kr.

Vi stemmer derfor for, at banken skal indsætte 11.655,30 kr. på klagerens konto med rentedato/valør den 1. januar 2020, svarende til rentedatoen for transaktionen på 19.655,30 kr.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Bank Norwegian skal inden 30 dage betale 19.280,30 kr. til klageren med valør på datoen for debitering.

Klageren får klagegebyret tilbage.