Indsigelse mod at hæfte for 8.000 kroner af en transaktion med Visa-/Dankort.

Sagsnummer:496/2021
Dato:04-07-2022
Ankenævn: Henrik Waaben, Inge Kramer, Mette Lindekvist Højsgaard, Lisbeth Baastrup Burgaard og Finn Borgquist
Klageemne:Betalingstjenester - groft uforsvarlig adfærd
Betalingstjenester - ikke groft uforsvarlig adfærd
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod at hæfte for 8.000 kroner af en transaktion med Visa-/Dankort.
Indklagede:Sparekassen for Nørre Nebel og Omegn
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Sagen vedrører indsigelse mod at hæfte for 8.000 kroner af en transaktion med Visa-/Dankort.

Sagens omstændigheder

Klageren havde en erhvervskonto med et tilknyttet Visa-/Dankort hos Sparekassen for Nørre Nebel og Omegn.

Den 20. august 2021 klokken 20.01 blev kortet anvendt til en betaling til et udenlandsk firma, F, på 2.380 euro, svarende til 17.878,90 kroner, som klageren ikke kan vedkende sig.

Sparekassen har oplyst, at betalingen fra en IP-adresse nummer -111 blev godkendt i klagerens NemID-nøgleapp (serienummer -668), og at der til klagerens telefonnummer blev sendt en notifikation med følgende tekst:

”Betal 2.380 EUR til [F] fra kort xxxx2849”

Samme dag klokken 20.12 blev kortet fra en IP-adresse nummer -245 anvendt til en yderligere transaktion til et udenlandsk firma, F2, på 9.843 norske kroner. Transaktionen blev ikke gennemført, fordi forbrugsgrænsen på kortet var overskredet.

Sparekassen har oplyst, at klagerens NemID ligeledes samme dag klokken 20.13 blev anvendt til at logge på netbank.

Den 24. august 2021 blev beløbet på 17.878,90 kroner trukket på klagerens konto.

Den 30. august 2021 gjorde klageren indsigelse mod transaktionen over for sparekassen, og klageren anmeldte sagen til politiet.

Den 24. september 2021 afviste sparekassen indsigelsen. Sparekassen anførte blandt andet:

”…

Du har bekræftet for os flere gange, at […] ingen har adgang til din telefon – dit visa/dankort og ej heller er dine personlige koder kendt af andre, men til disse 2 transaktioner er både NemID brugernr. + adgangskode anvendt samt nøgleapp og visa-kortnr.

På baggrund af disse konkrete facts har du selv deltaget i begge transaktioner, og derfor hæfter du for det fulde beløb, når din personlige sikkerhedsforanstaltning har været anvendt i forbindelse med misbruget.

…”

Den 11. oktober 2021 godtgjorde sparekassen pr. kulance klageren 9.878,90 kroner, hvorved klagerens hæftelse for de 17.878,90 kroner blev nedsat til 8.000 kroner.

Klageren har fremlagt to udskrifter, der viser, at IP-adressen -111 er lokaliseret i Frankrig, og at IP-adressen -245 er lokaliseret i Italien. Som dokumentation for, at hun på transaktionstidspunkterne opholdt sig i Danmark, har klageren fremlagt ”Dagsafslutning” for perioden 20. august 2021 klokken 17.28 til 21. august 2021 klokken 13.19 for sin frisørsalon, som hun har oplyst, at hun driver alene.

Parternes påstande

Den 29. oktober 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen for Nørre Nebel og Omegn skal betale 8.000 kroner, subsidiært 7.625 kroner.

Sparekassen for Nørre Nebel og Omegn har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun ikke har autoriseret eller iværksat transaktionen, og at sparekassen bør stille hende som om, transaktionen ikke var sket. Subsidiært bør hendes hæftelse nedsættes til 375 kroner, jævnfør betalingsloven § 100, stk. 3.

Sparekassen har ikke løftet bevisbyrden for, at hun personligt har anvendt sin personlige sikkerhedsforanstaltning til transaktionen, jævnfør betalingsloven § 98.

Sparekassens beskrivelse af godkendelsesprocessen samt sikkerhedsforanstaltningerne for nøgleappen og processen for et online køb er ikke tilstrækkeligt til at konkludere, at hun selv har deltaget i transaktionerne.

Hun har opfyldt sine forpligtigelser i overensstemmelse med betalingsloven § 93.

Hendes NemID blev anvendt på to IP-adresser, som ikke normalt anvendes, og som var lokaliseret i Frankrig og Italien. Det faktum, at IP-adresserne blev anvendt med ti minutters mellemrum i to forskellige lande, Frankrig og Italien, mens hun opholdt sig i Danmark, tyder på, at der tale om en sikkerhedsbrist, og at hendes NemID uberettiget er blevet anvendt.

Transaktionen med IP-adresse -245 den 20. august 2021 henholdsvis klokken 20:11 og 20:12 var sammenfaldende med login i netbank klokken 20:13.

Hun kan ikke vide, ad hvilken vej en udefrakommende har skaffet sig adgang til hendes oplysninger, men hun bestrider, at godkendelserne er sket på hendes telefon, som hun var i besiddelse af på det tidspunkt, transaktionerne blev godkendt.

Digitaliseringsstyrelsen har oplyst, at den har haft omtrent 200 lignende sager, hvor borgeres unikke NemID app er blevet misbrugt.  Dette kan bekræftes ved telefonisk henvendelse til Digitaliseringsstyrelsen.

Det er ikke godtgjort, at hun ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse i overensstemmelse med betalingsloven § 100, stk. 4, nr. 3, da hun ikke har deltaget i de omhandlede transaktioner.

Hun har været en loyal kunde hos sparekassen siden 2004 og har ikke begået strafbare forhold af nogen art.

Sparekassen for Nørre Nebel og Omegn har anført, at klageren selv har godkendt transaktionen på sin mobiltelefon.

Forholdet falder ind under betalingslovens § 100, stk. 5, og sparekassen kan nægte at dække hele tabet. Sparekassen har imidlertid valgt at dække tabet fratrukket 8.000 kroner jævnfør betalingslovens § 100, stk. 4, nr. 3, idet klageren ved godkendelsen af overførslen har udvist groft uforsvarligt adfærd.

Transaktionen blev godkendt med klagerens NemID nøgleapp med serienummer -668, som har været hyppigt brugt siden den 21. oktober 2020. En NemID nøgleapp kan ikke være installeret på flere enheder med samme serienummer. Godkendelse med stærk kundeautentifikation skete således på klageren telefon, som klageren var i besiddelse af, da transaktionen blev godkendt.

Flere aktive handlinger var nødvendige for at gennemføre transaktionen. Der var derfor rig mulighed for at afbryde handlingen. For at gennemføre en online handel var det desuden nødvendigt at være i besiddelse af kortnummer, udløbsmåned, udløbsår og kontrolnummer.

Klageren har bekræftet, at ingen var i besiddelse af hendes kortoplysninger.

Det var ikke muligt at gennemføre transaktionen uden groft at tilsidesætte reglerne og agere groft uansvarligt.

Transaktionen er korrekt registreret og bogført uden tekniske svigt jævnfør betalingsloven § 98, stk. 1.

Der var ikke tale om en særlig presset situation.

Ankenævnets bemærkninger

Den 20. august 2021 blev der med klagerens Visa/Dankort, der var udstedt af Sparekassen for Nørre Nebel og Omegn foretaget en betaling på 2.380 euro, svarende til 17.878,90 kroner, til en betalingsmodtager, F. Sparekassen har oplyst, at betalingen blev foretaget ved godkendelse i klagerens NemID-nøgleapp.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jævnfør betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jævnfør betalingslovens § 93.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jævnfør betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jævnfør betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 kroner af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Sparekassen har anført, at transaktionen på 2.380 euro, svarende til 17.878,90 kroner, til F blev foretaget af klageren, der godkendte transaktionen i sin NemID-nøgleapp. Klageren har bestridt dette.

Sparekassen har pr. kulance godtgjort klageren 9.878,90 kroner. Klagerens tab udgør herefter 8.000 kroner.

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug, herunder om der er tale om misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 kroner af tabet, jævnfør betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jævnfør Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.