| Sagsnummer: | 359/2022 |
| Dato: | 28-04-2023 |
| Ankenævn: | Vibeke Rønne, Christina B. Konge, Mette Lindekvist Højsgaard, Jacob Ruben Hansen og Poul Erik Jensen |
| Klageemne: | Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger Afvisning - bevis § 5, stk. 3, nr. 4 |
| Ledetekst: | Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing. |
| Indklagede: | Lån & Spar Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.
Sagens omstændigheder
Klageren var kunde i Lån & Spar Bank, hvor han havde en konto med et tilknyttet Visa/Dankort og et MasterCard.
Den 23. juli 2022 blev der med klagerens Visa/Dankort foretaget følgende transaktioner:
|
Transaktionsdato |
Betalingsmodtager |
Beløb |
|
23.07.2022 |
[betalingsmodtager 1] |
-1 EUR |
|
23.07.2022 |
[betalingsmodtager 2] |
-200 EUR |
|
23.07.2022 |
[betalingsmodtager 3] |
1 EUR |
|
23.07.2022 |
[betalingsmodtager 2] |
-150 EUR |
Samme dag blev der med klagerens MasterCard foretaget følgende transaktioner:
|
Transaktionsdato |
Modtager |
Beløb |
|
23.07.2022 |
[betalingsmodtager 4] |
-150 EUR |
|
23.07.2022 |
[betalingsmodtager 4] |
-1.300 EUR |
|
23.07.2022 |
[betalingsmodtager 4] |
-500 EUR |
|
23.07.2022 |
[betalingsmodtager 4] |
-1 EUR |
|
23.07.2022 |
[betalingsmodtager 4] |
1 EUR |
I alt blev der på klagerens Visa/Dankort og MasterCard trukket et beløb svarende til 17.300 kr., som klageren ikke kan vedkende sig.
Om baggrunden for transaktionerne har klageren oplyst, at han havde en vare til salg via Den Blå Avis til 300 kr. Han blev kontaktet af en køber, K, der gerne ville have varen tilsendt på egen regning. K sendte et falsk link til PostNord til klageren, hvor klageren udfyldte afsender- og modtageroplysninger og klikkede på ”modtag 300 kr.” Han blev derefter dirigeret til NemID, hvor han loggede ind og udfyldte sine kontooplysninger. K gik herefter straks i gang med at hæve fra hans konti. Han oplyste ikke sine pinkoder til sine betalingskort eller udleverede sin nøglekode til NemID.
Banken har oplyst, at transaktionerne blev gennemført ved brug af klagerens NemID oplysninger. Forinden havde klageren videregivet sine kortoplysninger og CVC-koden til både sit Visa/Dankort og sit MasterCard samt sine personlige NemID-oplysninger, herunder kode. K installerede og aktiverede herefter klagerens NemID på et nyt device tilhørende K, hvorved K kunne swipe og godkende køb ved at indtaste klagerens kortoplysninger samt godkende med NemID-appen. Banken har fremlagt en nøgleapphistorik for klagerens NemID, hvoraf blandt andet fremgår:
|
Serienummer |
Status |
Enhedstype |
Sidst brugt |
Installeret |
Aktiveret |
|
[-315] |
Aktiv |
iOS |
23-07-2022 |
23-07-2022 |
23-07-2022 |
|
[-806] |
Aktiv |
Android |
02-06-2022 |
02-06-2022 |
02-06-2022 |
|
[-726] |
Aktiv |
Android |
15-01-2022 |
1501-2022 |
15-01-2022 |
Af en oversigt over klagerens NemID fremgår, at den af K installerede mobiltelefon havde navnet ”Iphone Igor”.
Klageren spærrede sit Visa/Dankort og sit MasterCard, anmeldte sagen til politiet og gjorde indsigelse mod transaktionerne til banken. Banken afviste hans indsigelse. Klageren indgav herefter en klage til banken, som banken også afviste.
Den 11. september 2022 indbragte klageren sagen for Ankenævnet.
Efter sagens indbringelse for Ankenævnet har banken godtgjort klageren det svindlede beløb, fratrukket en selvrisiko på 8.000 kr., i alt 9.300 kr.
Parternes påstande
Klageren har indbragt sagen for Ankenævnet med påstand om, at Lån & Spar Bank skal betale 17.300 kr. til ham.
Lån & Spar Bank har nedlagt påstand om principalt afvisning, subsidiært frifindelse.
Parternes argumenter
Klageren har anført, at han er blevet udsat for økonomisk svindel. Han handlede på ingen måde groft uansvarligt, og banken bør derfor godtgøre ham hele det svindlede beløb.
Det var dumt og naivt af ham at indtaste sine kontooplysninger, men han blev fanget i et stresset øjeblik.
Han autoriserede på ingen måde træk af noget beløb, ligesom han heller ikke oplyste pinkoder til sine kort eller udleverede sin nøglekode til NemID. Han udførte én omvendt transaktion på 300 kr., hvor han forventede, at hans kreditkort ville blive debiteret via en meget god efterligning af PostNords hjemmeside. Første gang fejlede det, hvorefter han forsøgte med sit andet kort.
Svindelnummeret blev udført i et betalingsvindue, der var stillet til rådighed af en betalingsudbyder. K kan kun have misbrugt hans kort ved at have camoufleret en engangsbetaling med en abonnementsbetaling, som så i givet fald har givet K mulighed for at trække flere beløb på hans Visa/Dankort og MasterCard.
Han havde ingen jordisk chance for at gennemskue svindelnummeret. Det er korrekt, at der efterfølgende er kommet advarsler frem i medierne og fra politiet, men på det tidspunkt var skaden allerede sket.
Han forventede, at hans bank ville beskytte ham som kunde, og at man ville være forsikret mod et sådant svindelnummer.
Lån & Spar Bank har til støtte for afvisningspåstanden anført, at Ankenævnet bør afvise sagen, da det kun vil være muligt at træffe afgørelse i sagen, hvis klageren og eventuelle vidner under strafansvar afgiver mundtlige parts- og vidneforklaringer. Dette kan ikke ske for Ankenævnet, men i givet fald ved domstolene. Ankenævnet bør derfor afvise sagen under henvisning til § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.
Banken har til støtte for frifindelsespåstanden anført, at klageren selv muliggjorde transaktionerne ved at videregive sine strengt personlige oplysninger, herunder alle kortoplysninger på to betalingskort samt alle NemID-oplysninger.
Ved installering og aktivering af ”Iphone Igor” blev der sendt advisering via NemID-app til alle aktive devices, der var tilknyttet det pågældende NemID. Det blev derfor også sendt NemID-anmodninger til klagerens to egne decives, hvorpå klageren allerede havde NemID-appen installeret. Den ene af de to devices var hans mobiltelefon.
Klageren burde have undersøgt linket, som han fik tilsendt, inden han afgav alle sine oplysninger. Han burde som minimum have reageret på alle de NemID-anmodninger, der blev sendt til hans to devices. Dette særligt henset til, at klageren netop havde videregivet alle sine kontooplysninger og NemID-oplysninger.
Der advares mod denne svindelmetode i diverse medier, hjemmesider samt på bankens egen hjemmeside og netbank. Klageren skriver selv, at han har handlet dumt og naivt. Han medgiver herved, at han har handlet groft uforsvarligt.
Bogføringen af transaktionerne er sket korrekt, og betalingerne er korrekt registreret.
Betalingstransaktionerne blev gennemført ved brug af NemID samt indtastning af klagerens personlige kode, jævnfør betalingsloven § 7, nr. 30 og 31.
Klageren har ved at videregive sine kortoplysninger, CVC-kode og NemID-oplysninger ved groft uforsvarlig adfærd muliggjort transaktionerne, jævnfør betalingslovens § 100, stk. 4, nr. 3. Klageren hæfter derfor for 8.000 kroner af tabet som følge af transaktionerne.
Ankenævnets bemærkninger
Den 23. juli 2022 blev der med klagerens Visa/Dankort og MasterCard foretaget transaktioner for i alt 17.300 kr. til forskellige ukendte betalingsmodtagere. Klageren kan ikke vedkende sig transaktionerne.
Banken har oplyst, at de omtvistede transaktioner blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp. Transaktionerne blev godkendt via nøgleapp på ”Iphone Igor”, som var muliggjort ved, at klageren har udleveret sine personlige NemID-oplysninger.
Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Klageren bestrider at have videregivet pinkoder til sine betalingskort eller udleveret sin nøglekode til NemID.
Ankenævnet finder, at der mangler oplysninger i sagen om, hvilke af klagerens oplysninger tredjemand kom i besiddelse af og om forholdene omkring tredjemands tilføjelse af klagerens NemID på sin telefon. Ankenævnet finder derfor, at en afklaring af de nærmere omstændigheder forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.