Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagsnummer: 14/2022
Dato: 04-10-2022
Ankenævn: Henrik Waaben, Bjarke Svejstrup, George Wenning, Jacob Ruben Hansen, Jørn Ravn.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.
Indklagede: Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor han havde en konto med et tilhørende Visa/dankort.

Den 6. december 2021 blev klagerens kort anvendt til en betaling til en udenlandsk betalingsmodtager, F, på 1.793,72 EUR, som klageren ikke kan vedkende sig.

Den samme dag kontaktede klageren banken telefonisk, og hans kort blev spærret. Klageren fik endvidere en ny kode til sit NemID

Banken har oplyst, at betalingen med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp. Følgende tekst blev sendt til klagerens NemId-nøgleapp:

”Betal 1793,72 EUR til [F] fra kort xxx248”

Banken har oplyst, at betalingen blev korrekt registreret og bogført, og at den ikke var ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.

Transaktionen blev bogført på klagerens konto den 8. december 2021 med 13.541,68 DKK.

Den 8. december 2021 gjorde klageren indsigelse mod transaktionen over for banken. Den 9. december stillede banken uddybende spørgsmål til klageren:

”…

  • Hvor befandt du dig/hvad lavede du på det tidspunkt du modtog koden? Dato 06.12.2021, omkring kl. 15.57
  • Har du givet koden til andre?
  • Er der andre der har adgang til din telefon?
  • Hvem har du evt. oplyst din NEMid nøglekode til?
  • Opbevare du telefonen på steder hvor andre kan have mulighed for at bruge den?
  • Venligst vedhæft alle relevante dokumenter du har til sagen (skærmprint af sms beskeden osv.)
  • Har du modtaget nogle mistænkelige opkald eller mails? Hvis ja fremsend venligst beskeden.
  • Har du for nyligt givet andre adgang til din computer eller mobil via en fjernadgang?
  • Er du for nyligt blevet bedt om at opdaterer personlige oplysninger /kort informationer via nettet?
  • Er du blevet bedt om at betale post omkostninger? Hvis ja fremsend venligst beskeden.
  • Har du andre informationer der kan hjælpe os med at opklare sagen? …”

Den samme dag svarede klageren:

”…

  1. Jeg var hjemme
  2. Jeg modtog en SMS, hvor jeg skulle opdatere min NemID
  3. Nej
  4. Da jeg forsøgte at opdatere min NemID, via den SMS jeg modtog
  5. Nej
  6. Da jeg opdagede, der sandsynligvis var noget galt, slettede jeg SMS
  7. Ingen telefon opkald eller mail, kun 1 SMS
  8. Nej
  9. Ja, se venligst svar 4
  10. Nej
  11. nej

Umiddelbart efter jeg konstaterede der nok var noget galt, spærrede jeg mit kort, ændrede min NemID. samt slettede SMS beskeden. …”

Den 10. december 2021 oplyste klageren:

” Som jeg tidligere har beskrevet, modtog jeg en sms den 6/12 ca. kl. 16.

Beskeden lignede en besked fra Nets, hvor de anbefalede at man skulle opdatere sin NemID. Ligeledes skulle jeg indtaste mine kort oplysninger. Sekunder efter var jeg næsten sikker på at beskeden var falsk og spærrede mit kort og ændrede mit password på NemID, der gik højest et par minutter. Desuden slettede jeg beskeden. Jeg kunne ikke se andet end den sms jeg modtog og fik ikke yderligere informationer om der var gået noget galt. Først da jeg modtog sms fra Dansk[e] Bank kl. 18.09 med en besked om at der var foretaget en betaling i EUR på mit kort, vidste jeg den var gal. Jeg ringede omgående til kortspærring for hjælp, de kunne intet gøre før beløbet figurerer på min kontooversigt, derefter kunne jeg gøre indsigelse.

Den eneste besked der indikerede at der var fortaget et køb var den sms fra Danske Bank. Så informationer omkring køb og virksomhed er jeg helt uvidende overfor. Men hvis Danske Bank kan se virksomheden kan I vel også informere dem om, at det hele er et stort svindelnummer og politianmelde dem.

Jeg kan selvfølgelig også politianmelde dem, men da jeg kun har ovenstående informationer, er det svært.

Jeg har det svært med at blive svindlet for kr. 13.541,68 for at konstatere at svindlerne har så let spil, man må da kunne følge deres spor på internettet.”

Banken afviste indsigelsen. Klageren fastholdt indsigelsen og anførte:

”Jeg mener i misforstår hele situationen.

Jeg har IKKE gennemført nogen transaktion eller set et firmanavn. For slet ikke at tale om at have accepteret et køb.

Min NemID blev hakket via en falsk SMS. Så hvordan skal jeg finde en løsning med et firma som jeg overhoved ikke kender og aldrig har handlet med.

Jeg er kort og godt blevet svindlet. Det I indikerer er at jeg selv har handlet med firmaet, hvilket jeg mener er en grov beskyldning. …”

Banken har oplyst, at den som led i behandling af indsigelsen kontaktede F med anmodning om tilbagebetaling, men at F ikke er vendt tilbage.

Den 12. januar 2022 indbragte klageren sagen for Ankenævnet.

Banken har under klagesagen godtgjort klageren 5.541,68 DKK, svarende til det påklagede beløb fratrukket 8.000 DKK.

Parternes påstande

Den 12. januar 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal tilbageføre den ikke vedkendte betaling.

Danske Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har bl.a. anført, at banken skal tilbagebetale hele beløbet på 13.541,68 DKK.

Banken overvåger diverse konti og burde have reageret på denne store transaktion. Han har aldrig brugt så stort et beløb før, så alle alarmklokker hos Danske Bank burde have ringet.

Han spærrede sit kort og ringede til banken umiddelbart efter transaktionen, så der var tid til, at banken kunne få annulleret transaktionen. Banken oplyste, at han skulle vente til, at transaktionen var på hans kontooversigt. Der gik flere dage. Banken kunne og burde have stoppet transaktionen, da han ringede. Man bliver overvåget af banken, så dette måtte absolut være en mulighed.

Han har tidligere trukket et beløb på sin konto på ca. 3.000 DKK i Tyrkiet, hvor banken ringede umiddelbart efter for at få en bekræftelse på, at det var ham, som foretog transaktionen.

Man bliver også ringet op, hvis man indsætter et større beløb på sin konto, og skal forsvare, hvor pengene kommer fra.

Danske Bank har anført, at klageren selv hæfter for 8.000 DKK.

Betalingen blev korrekt registreret og bogført og var ikke ramt af tekniske svigt eller andre fejl. Den til betalingstjenesten hørende personlige sikkerhedsforanstaltning, klagerens godkendelse med klagerens personlige NemID-kode, blev anvendt.

Klageren foretog selv betalingen. Der foreligger ikke oplysninger om, at klageren på noget tidspunkt udleverede sit NemID og personlige kode til tredjemand, eller at klageren havde været i kontakt med tredjemand.

Klageren har ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3. Klageren udviste groft uforsvarlig adfærd ved at godkende betalingen ved at swipe på sin NemID-nøgleapp til trods for, at både forretningsnavn og det debiterede beløb var synligt, da klageren gennemførte og accepterede betalingen.

Klageren ikke var under pres, da betalingen blev godkendt, idet han ikke havde kontakt med tredjemand eller var påvirket af en trussel om, at han skulle foretage transaktionen for at sikre sine midler. Klageren havde mulighed for at undersøge omstændighederne omkring transaktionen nærmere, herunder f.eks. ved at kontakte banken, før godkendelse af transaktionen.

Banken havde desværre ikke mulighed for at stoppe transaktionen. Det følger af betalingsloven § 111, stk. 1, at banken ikke kan tilbagekalde en transaktion efter, at instruksen om transaktionen er modtaget af banken. Transaktionen blev godkendt med NemID, hvorfor den ikke kunne tilbagekaldes, jf. også bankens regler for Visa/dankort.

Banken oplyste i forbindelse med klagerens første henvendelse om transaktionen alene, at klageren skulle vente med at lave en indsigelsessag via bankens hjemmeside, til at transaktionen fremgik af hans konto. Dette påvirker ikke, at banken desværre ikke havde mulighed for at stoppe transaktionen til trods for, at klageren efter transaktionen den 6. december 2021 spærrede sit kort.

Bankens eventuelle overvågningssystemer påvirker ikke vurderingen af hæftelsen for transaktionen efter betalingsloven.

Ankenævnets bemærkninger

Den 6. december 2021 blev klagerens betalingskort anvendt til en betaling til en udenlandsk betalingsmodtager, F, på 1.793,72 EUR, som klageren ikke kan vedkende sig. Den samme dag kontaktede klageren banken telefonisk, og hans kort blev spærret.

Transaktionen blev bogført på klagerens konto den 8. december 2021 med 13.541,68 DKK.

Klageren gjorde indsigelse mod transaktionen over for banken. Han oplyste, at han omkring kl. 16 den 6. december 2021 modtog en sms, der så ud til at være fra Nets, hvori han blev bedt om at opdatere sin NemID. Han forsøgte at opdatere sin NemID. Han skulle indtaste sine kortoplysninger. Han gennemførte ikke en transaktion. Han accepterede ikke et køb og så ikke et firmanavn.  Banken har anført, at klageren godkendte transaktionen i sin NemID-nøgleapp.

Banken har under klagesagen godtgjort klageren 5.541,68 DKK, men har fastholdt, at klageren hæfter for det resterende beløb på 8.000 DKK.

Banken har oplyst, at den omtvistede betaling med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet finder, at det som anført af banken må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Henrik Waaben, Bjarke Svejstrup og George Wenning – udtaler:

Vi lægger til grund, at klageren må have godkendt betalingen på 1.793,72 EUR i sin NemID-nøgleapp.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i NemID-nøgleappen, hvor han fik oplysninger om beløbet på 1.793,72 EUR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Jacob Ruben Hansen og Jørn Ravn – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen. 

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet på 13.541,68 DKK, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.

Klageren får klagegebyret tilbage.