Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagsnummer:542/2021
Dato:04-07-2022
Ankenævn:Henrik Waaben, Inge Kramer, Mette Lindekvist Højsgaard, Lisbeth Baastrup Burgaard og Finn Borgquist
Klageemne:Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - groft uforsvarlig adfærd
Ledetekst:Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.
Indklagede:Sparekassen Danmark
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagens omstændigheder

Klageren var kunde i Sparekassen Danmark, hvor hun havde et betalingskort.

Den 22. september 2021 kl. 12:57 GMT (kl. 14:57) blev der foretaget en korttransaktion på 2.503,99 EUR fra klagerens konto i sparekassen til en betalingsmodtager, M, som klageren ikke kan vedkende sig.

Klageren har oplyst, at hun den 22. september 2021 besvarede en e-mail, der så ud til at være fra hendes hjemmesideudbyder, hvori hun blev rykket for betaling for sin hjemmeside. Hun blev ført til en betalingsside, hvor hun godkendte en betaling på 159 DKK. Hun brugte sin NemID-nøgleapp. Systemet svigtede, så hun fulgte linket igen. Da hun atter kom til betalingssiden, var beløbet på 159 DKK skiftet ud med 2.503 EUR. Hun trykkede straks på ”afvis”.

Sparekassen har oplyst, at den omtvistede transaktion blev korrekt registreret og bogført og ikke var ramt af tekniske svigt eller andre fejl, og at transaktionen blev foretaget ved indtastning af NemID oplysninger og godkendelse i NemID-nøgleappen.

Sparekassen har fremlagt en udskrift fra Nets, hvoraf det fremgår, at følgende tekst blev sendt til NemID-nøgleappen ved godkendelse af transaktionen:

”Betal 2.503,99 EUR til [M] fra kort xx8598.”

Af udskriften fra Nets fremgår endvidere, at en betalingstransaktion den 22. september 2021 kl. 13:00 GMT (kl. 15:00) på 2.500 EUR blev afvist.

Klageren har fremlagt et skærmprint fra ”jutlander-netbank.dk”, hvoraf følgende fremgik om klagerens NemID-nøgleapp den 22. september 2021:

14:57                Notifikation sendt til nøgleapp …

14:57                Transaktion blev accepteret i nøgleapp …

15:01                Notifikation sendt til nøgleapp …

15:01                Transaktion blev afvist i nøgleapp …

Den 27. september 2021 indgav klageren indsigelse til sparekassen, der dækkede klagerens tab med fradrag af 8.000 DKK.

Den 27. september 2021 anmeldte klageren sagen til politiet.

Parternes påstande

Den 23. november 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Danmark skal tilbageføre 8.000 DKK til hende, subsidiært tilbageføre 8.000 DKK med fradrag af 375 DKK.

Sparekassen Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun ikke har godkendt den omtvistede betaling. Hun havde ingen grund til at godkende 2.500 EUR, som var et uhørt beløb for hendes hjemmeside.

Der dukkede først et beløb på 159 DKK, som hun forsøgte at godkende, hvorefter siden ”crashede”. Da hun forsøgte igen, var beløbet ca. 2.500 EUR, som hun straks afviste. Der var en ”godkend” og en ”afvis” mulighed, hvor hun benyttede ”afvis” muligheden. Det fremgår endvidere af loggen for hendes NemID, som hun har fremlagt, at hun har godkendt et beløb kl. 14.57 og afvist et beløb kl. 15.01.

De kriminelle udgav sig for at være hendes hjemmesideudbyder. Hun ved ikke, hvordan de kriminelle foretager svindlen, og hvordan de kan bytte om på ”knapperne”, så man i virkeligheden godkender, når man tror, man afviser, eller om de kriminelle kan udskifte beløbet. Hun brugte sin NemID-nøgleapp. Det var en medvirkende årsag til, at miseren kunne finde sted. Det er ikke hendes ansvar at gennemskue, at det er muligt at hæve 2.500 EUR fra hendes konto, når hun netop har afvist dette beløb. Hvis ikke Nets kan forklare, hvad der skete, hvordan skal hun så kunne? Det er urimeligt, at hun som forbruger står med bevisbyrden.

Hun skal ikke hæfte for 8.000 DKK. Hun gav besked til sparekassen, straks da hun opdagede svindlen, da et beløb på 18.800 DKK var hævet fra hendes konto. Hun oplyste ikke kortets kode til svindleren. Hun har ikke opført sig uansvarligt. Hun handlede i god tro. Så snart hun opdagede det urimelige beløb, afviste hun transaktionen. Når man som forbruger skal betale en regning og logger på med NemID, går man ud fra, at det er en legitim hjemmeside. Man tænker heller ikke over, at der sker et teknisk nedbrud. Hun afviste beløbet på 2.500 DKK og kontaktede straks sin hjemmesideudbyder, som efterfølgende lavede en advarsel om svindel på sin hjemmeside.

Sparekassen har anført, at hun ikke var i en presset situation. Hun lægger vægt på at betale sine regninger til tiden. Hun havde skiftet betalingskort i juli. I mailen blev det oplyst, at hun ikke havde betalt for sit domæne, og at det ville blive lukket inden tre dage, hvis hun ikke betalte. Hun skyndte sig derfor at betale.

Hun henviser til betalingslovens § 100, stk. 8: ”Uanset stk. 3-5 hæfter betalerens udbyder tillige, hvis tabet, tyveriet eller den uberettigede tilegnelse af det til betalingstjenesten hørende betalingsinstrument eller den til betalingstjenesten hørende personlige sikkerhedsforanstaltning ikke kunne opdages af betaleren forud for den uberettigede anvendelse.” Hun handlede i god tro og havde ikke grund til mistanke, før beløbet skiftede fra 159 DKK til 2.500 EUR.

Hun henviser endvidere til betalingslovens § 100, stk. 9: ”Uanset stk. 3-5 hæfter betalerens udbyder tillige, hvis betalingsmodtageren vidste eller burde vide, at der forelå en uberettiget anvendelse af betalingstjenesten.” Betalingsmodtageren var i dette tilfælde forbryderne, som har lænset hendes konto.

Det vil være langt mere fair, hvis hun hæfter for 375 DKK, jf. betalingslovens § 100, stk. 3.

Sparekassen Danmark har anført, at klageren hæfter for 8.000 DKK efter betalingslovens § 100, stk. 4.

Transaktionen blev korrekt registreret og bogført uden tekniske svigt, jf. betalingsloven § 98, stk. 1.

Klageren anvendte minimum en kode og brug af stærk kunde autentifikation, jf. betalingslovens § 7, nr. 30 samt § 100, stk. 7, i dette tilfælde NemID/NemID-nøgleapp.

Klageren indtastede NemID og validerede med NemID-nøgleappen, hvor der var en beskrivelse af beløb samt forretning, hvilket vil sige, at den til betalingstjenesten hørende personlig sikkerhedsforanstaltning har været anvendt, jf. betalingslovens § 100 stk. 4.

Ved at swipe på NemID-nøgleappen med teksten ”Betal 2.503,99 EUR til [M]” har klageren autoriseret betalingen. Klagerens påstand om, at hun har set en anden tekst, kan ikke lægges til grund for sagen, idet den henstår udokumenteret og i strid med faktum i sagen.

Der var ikke tale om en presset situation.

Klageren har ved at undlade at læse oplysningerne på NemID-nøgleappen eller ved at ignorere dem udvist groft uforsvarlig adfærd.

Ankenævnets bemærkninger

Klageren har gjort indsigelse mod en transaktion på 2.503,99 EUR foretaget den 22. september 2021 kl. 14:57 til en betalingsmodtager, M.

Klageren har oplyst, at hun den 22. september 2021 besvarede en e-mail, der så ud til at være fra hendes hjemmesideudbyder, hvori hun blev rykket for betaling for sin hjemmeside. Hun blev ført til en betalingsside, hvor hun godkendte en betaling på 159 DKK. Hun brugte sin NemID-nøgleapp. Systemet svigtede, så hun fulgte linket igen. Da hun atter kom til betalingssiden, var beløbet på 159 DKK skiftet ud med et beløb på 2.503 EUR, hvilket hun afviste.

Af en udskrift fra Nets fremgår, at en betalingstransaktion på 2.500 EUR blev afvist den 22. september 2021 kl. 15:00.

Sparekassen har oplyst, at betalingen på 2.503,99 EUR med klagerens betalingskort blev foretaget ved indtastning af NemID oplysninger og ved godkendelse i NemID-nøgleapp.

Sparekassen har dækket klagerens tab med fradrag af 8.000 DKK.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer –  Henrik Waaben, Inge Kramer og Mette Lindekvist Højsgaard – udtaler:

Vi lægger til grund, at klageren må have godkendt betalingen på 2.503,99 EUR i sin NemID-nøgleapp. Vi finder, at sparekassen har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i NemID-nøgleappen, hvor hun fik oplysninger om beløbet på 2.503,99 EUR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi finder ikke, at betalingslovens § 100, stk. 9, kan føre til et andet resultat.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Lisbeth Baastrup Burgaard og Finn Borgquist – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder ikke, at klageren har udvist groft uforsvarlig adfærd, idet det må forudsættes at klageren, såfremt klageren havde forudsætninger for at gennemskue svindlen, ikke ville have godkendt transaktionen.

Forbrugere har forskellige forudsætninger for at gennemskue svindel, og det må aldrig blive utrygt for den almindelige forbruger at anvende de betalingstjenester, der er udviklet og svære at komme uden om.

Hertil bemærkes, at begrebet "groft uforsvarlig adfærd" angiver, at grov uagtsomhed i almindelig forstand ikke er tilstrækkelig til at pådrage betaleren hæftelse efter bestemmelsen.

Idet der er tale om en væsentlig skærpelse af ansvarsbetingelsen i forhold til begrebet "grov uagtsomhed", som normalt anvendes som en betegnelse for "tilsidesættelse af den agtpågivenhed, som selv skødesløse personer plejer at udvise", må der forudsættes en udvidet beskyttelse af forbrugeren, og dermed at der pålægges et udvidet ansvar hos udbyderen af betalingsløsningen.  

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, og der er ikke belæg for at lægge til grund, at der i sager med phishing, hvor forbrugeren oplever, at beløbet ændrer sig, efter transaktionen er godkendt, ikke er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, hvor beløbet først ændres efter transaktionen er godkendt.

Vi finder ikke, at sparekassen har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at sparekassen er nærmest til at bære risikoen for, at det betalingssystem, forbrugeren anvender, gør transaktionen tilstrækkeligt tydelig, herunder at udformningen af den tekst forbrugeren godkender, fremgår tydeligt. 

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at Sparekassen Danmark skal betale 7.625 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.