Indsigelse mod at hæfte for korttransaktioner. Phishing.

Sagsnummer:407/2021
Dato:04-07-2022
Ankenævn:Henrik Waaben, Inge Kramer, Mette Lindekvist Højsgaard, Lisbeth Baastrup Burgaard og Finn Borgquist
Klageemne:Betalingstjenester - groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - ubegrænset hæftelse
Ledetekst:Indsigelse mod at hæfte for korttransaktioner. Phishing.
Indklagede:Spar Nord Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for korttransaktioner. Phishing.

Sagens omstændigheder

I juni 2021 udstedte Spar Nord Bank et Mastercard Debit til klagerens personligt drevne virksomhed. Kortet blev aktiveret af klageren den 15. juni 2021 og anvendt til betaling samme dag.

Den 17. juni 2021 klokken 15.18 og 15.20 blev der foretaget to transaktioner med kortet på henholdsvis 17.259,00 tyrkiske lira (TRY), svarende til 12.801,90 danske kroner, til betalingsmodtager A, og 14.599,00 TRY, svarende til 10.828,84 danske kroner, til betalingsmodtager B. En yderligere transaktion samme dag klokken 15.21 på 17.345,02 TRY til B blev afvist, idet den overskred den daglige beløbsgrænse for køb med kortet.

Betalingsmodtagerne var hjemmehørende i Tyrkiet. Betalingsmodtager A havde branchekoden: ”Blomster engros, planteskoler o.lign.”. Betalingsmodtager B havde branchekoden ”Anden detailhandel fra specialforretninger”.

Den 23. juni 2021 gjorde klageren indsigelse mod transaktionerne på 17.259,00 TRY og 14.599,00 TRY, svarende til i alt 23.630,74 danske kroner. I en tro- og loveerklæring til banken anførte klageren, at der var tale om misbrug, og at han hverken havde deltaget i eller godkendt transaktionerne. Klageren oplyste, at han forinden de omtvistede transaktioner modtog en mail fra et postfirma, P, om betaling af porto på 37 kroner, som han betalte med sit NemID.

Den 13. juli 2021 afviste banken indsigelsen.

Klageren har under sagen i Ankenævnet fremlagt kopi af en mail, der fremstår som sendt fra P til klageren den 17. juni 2021. Af mailen fremgik:

”…

Besked fra [P]

Hej

Din pakke leveres til dig torsdag 17.06.2021.

Dit pakkenummer er: RR185362DK.

Du skal betale et ekstra forsendelsesgebyr for at undgå forsinkelser.

Klik på nedenstående link for at Foretage betalingen.

Med venlig hilsen
[P]

…”

Banken har under sagen i Ankenævnet fremlagt udskrifter vedrørende gennemførelsen af transaktionerne. Banken har blandt andet oplyst, at transaktionerne er korrekt registrerede og bogførte og ikke har været ramt af tekniske svigt eller andre fejl, jævnfør lov om betalinger § 98. Transaktionerne blev verificeret med klagerens Nem­Id ved anvendelse af en NemId nøgle-app.

Banken har videre oplyst, at for hver transaktion blev der sendt en notifikation til klagerens nøgle-app, hvorefter de blev godkendt med app’en. Klageren har swipet ”godkend” til følgende tekster i sin nøgleapp: ”Betal 17259,00 TRY til [A] fra kort xx3992” og ”Betal 14599,00 TRY til [B] fra kort xx3992”.

Parternes påstande

Den 24. september 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Spar Nord Bank skal tilbageføre de to transaktioner, svarende til i alt 23.630,74 kroner.

Spar Nord Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han er blevet snydt, og at pengene er stjålet fra ham.

Han modtog en mail fra postfirma P, hvor der stod, at han skulle betale 37 kroner i porto for en pakke. Det gjorde han og brugte sit NemID. Derefter bliver der trukket beløbene på 12.801,90 kroner og 10.828,84 kroner, som han hverken kendte eller havde godkendt med sit NemID.

Han godkendte at betale 37 kroner vedrørende porto og ikke andet.

Han var på arbejde i sin butik, da transaktionerne skete.

Spar Nord Bank har anført, at klageren hæfter uden beløbsbegrænsning for tabet, jævnfør lov om betalinger § 100, stk. 5.

Ved transaktionerne er der anvendt stærk kundeautentifikation, jævnfør lov om betalinger § 7, nr. 30.

Transaktionerne er godkendt via en NemId nøgleapp, som findes på en enhed, som tilhører klageren, og som er anvendt af klageren både før og efter transaktionerne. Det kan kun være klageren, der har gjort det.

Det følger af betalingslovens § 100, stk. 5, at ”Betaleren hæfter uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.”

I denne sag har klageren swipet ”Godkend” ved de to transaktioner, der indholdsmæssigt og beløbsmæssigt adskiller sig betydeligt fra den ene transaktion på 37 kroner til postfirma P, som klageren siger, at han har foretaget.

Klageren har ikke befundet sig i en presset situation – han har modtaget en mail og har ikke været i direkte kontakt med tredjemand.

Ankenævnets bemærkninger

Den 17. juni 2021 blev der med klagerens Mastercard debit, der var udstedt af Spar Nord Bank, gennemført to transaktioner svarende til i alt 23.630,74 kroner. Baggrunden for transaktionerne var, at klageren modtog en mail fra et postfirma, P, om betaling af porto på 37 kroner.

Det lægges til grund, at transaktionerne blev foretaget ved godkendelse i klagerens NemID-nøgleapp.

Det lægges videre til grund, at transaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jævnfør betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jævnfør betalingslovens § 93.

Klagerens NemID var en personlig sikkerhedsforanstaltning, jævnfør betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jævnfør betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.

Det fremgår af forarbejderne til betalingslovens § 100, stk. 5 (lovforslag nr. L157 af 15. marts 2017), at hæftelse uden beløbsbegrænsning ikke finder anvendelse, hvis den personlige sikkerhedsforanstaltning uforvarende er overladt til andre, eksempelvis i forbindelse med phishing, idet betaleren ikke har overdraget den personlige sikkerhedsforanstaltning med forsæt til, at der skal foretages den uberettigede anvendelse.

Ankenævnet finder, at klageren har været udsat for phishing. Ankenævnet finder, at banken ikke har godtgjort, at betingelserne for, at klageren hæfter uden beløbsbegrænsning efter betalingslovens § 100, stk. 5, er opfyldt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Tre medlemmer – Henrik Waaben, Inge Kramer og Mette Lindekvist Højsgaard – udtaler:

Vi finder det godtgjort, at klageren må have godkendt betalingerne svarende til i alt 23.630,74 kroner i sin NemID-nøgleapp.

Vi finder, at banken herved har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da klageren burde have reageret på teksten i NemID-nøgleappen, hvor han fik oplysninger om beløbene på 17.259,00 TRY og 14.599,00 TRY og betalingsmodtagerne A og B. Klageren hæfter som følge heraf med op til 8.000 kroner, jævnfør betalingslovens § 100, stk. 4, nr. 3.

Vi stemmer derfor for, at Spar Nord Bank skal betale 15.630,74 kroner til klageren, således at klagerens hæftelse for tabet udgør 8.000 kroner.

To medlemmer – Lisbeth Baastrup Burgaard og Finn Borgquist – udtaler:

Vi finder det godtgjort, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder ikke, at klageren har udvist groft uforsvarlig adfærd, idet det må forudsættes at klageren, såfremt klageren havde forudsætninger for at gennemskue svindlen, ikke ville have godkendt transaktionerne.

Forbrugere har forskellige forudsætninger for at gennemskue svindel, og det må aldrig blive utrygt for den almindelige forbruger at anvende de betalingstjenester, der er udviklet og svære at komme uden om.

Hertil bemærkes, at begrebet "groft uforsvarlig adfærd" angiver, at grov uagtsomhed i almindelig forstand ikke er tilstrækkelig til at pådrage betaleren hæftelse efter bestemmelsen.

Idet der er tale om en væsentlig skærpelse af ansvarsbetingelsen i forhold til begrebet "grov uagtsomhed", som normalt anvendes som en betegnelse for "tilsidesættelse af den agtpågivenhed, som selv skødesløse personer plejer at udvise", må der forudsættes en udvidet beskyttelsen af forbrugeren, og dermed at der pålægges et udvidet ansvar hos udbyderen af betalingsløsningen.  

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, og der er ikke belæg for at lægge til grund, at der i sager med phishing, hvor forbrugeren oplever, at beløbet ændrer sig, efter transaktionen er godkendt, ikke er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, hvor beløbet først ændres efter transaktionen er godkendt.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugeren anvender, gør transaktionen tilstrækkeligt tydelig, herunder at udformningen af den tekst forbrugeren godkender, fremgår tydeligt. 

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kroner af tabet på 23.630,74 kroner, jævnfør betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at Spar Nord Bank skal betale 23.375,74 kroner til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Spar Nord Bank skal inden 30 dage til klageren betale 15.630,74 kroner med tillæg af procesrenter fra den 24. september 2021, hvor klagen blev indgivet til Ankenævnet.

Klageren får klagegebyret tilbage.