Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 8, 1256 København K
info@fanke.dk
+45 35 36 10 10
EN
Klag

Afgørelse

Indsigelse mod transaktioner, der blev gennemført som ”3D Secure” betalinger. Genoptaget sag.

Sagsnummer: 401 /2018
Dato: 01-09-2021
Ankenævn: Vibeke Rønne, Jimmy Bak, Karin Duerlund, Morten Bruun Pedersen, Jørn Ravn.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst: Indsigelse mod transaktioner, der blev gennemført som ”3D Secure” betalinger. Genoptaget sag.
Indklagede: Danske Bank!
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod transaktioner, der blev gennemført som ”3D Secure” betalinger.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor han havde MasterCard og Visa/dankort.

Den 10. august 2018 blev klagerens Visa/dankort nr. –95 anvendt til tre betalinger til et firma, F3, på i alt 3.700 USD, som klageren ikke kan vedkende sig.

Den 22., 23. og 24. august 2018 blev klagerens MasterCard nr. -056 anvendt til seks betalinger til et firma, F4, på i alt 9.950 EUR, som klageren ikke kan vedkende sig.

Den 9. december 2018 indgav klageren en klage over Danske Bank for Ankenævnet med påstand om, at banken skulle tilbageføre de ikke vedkendte hævninger.

Den 22. maj 2019 traf Ankenævnet følgende afgørelse i sagen:

”Klageren gjorde ved indsigelsesblanket af 14. august 2018 indsigelse mod tre transaktioner på i alt 3.700 USD foretaget den 10. august 2018 til et firma, F3, der efter det oplyste er en sydafrikansk børsmæglervirksomhed. Ved indsigelsesblanket af 28. august 2018 gjorde klageren indsigelse mod seks transaktioner på i alt 9.950 euro foretaget den 22., 23. og 24. august 2018 til et firma, F4, der udbyder bitcoin/kryptovaluta.

Danske Bank har oplyst, at de omtvistede betalinger med klagerens betalingskort skete ved brug af kortnumrene og de trecifrede sikkerhedsnumre samt ved brug af Nets sikkerhedsløsning 3D Secure ved anvendelse af sms-engangskoder sendt til klagerens telefonnummer.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Klageren har anført, at han ikke har foretaget eller godkendt betalingerne, at han ikke har kendskab til F3 eller F4, og at han ikke har gjort brug af sms-engangskoderne. Banken har bestridt dette.

Afgørelsen af, om klageren hæfter for betalingerne beror på, om der må antages at være tale om tredjemandsmisbrug. Ankenævnet finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.”

Der henvises i øvrigt til sagsfremstillingen og parternes anbringender i afgørelsen af 22. maj 2019 i sag nummer 401/2018.

Den 19. januar 2021 imødekom Ankenævnets formand en anmodning af 28. november 2020 fra klageren om, at sagen blev genoptaget.

Som bilag til genoptagelsesanmodningen fremlagde klageren korrespondance mellem ham og politiet i perioden fra november 2019 til april 2020, herunder sin anmeldelse af banken til politiet 16. november 2019 samt et brev af 20. april 2020 fra politiet med meddelelse om, at politiet havde besluttet at standse efterforskningen. I brevet anførte politiet endvidere blandt andet:

”… Ad 1) [Betalingerne 10. august 2018 til F3, på i alt 3.700 USD]

Transaktionerne er foretaget fra IP-adresse -144.

Efterforskningen har vist, at Visa/dankortet er blevet brugt fra en IP-adresse tildelt firmaet [F9] … de udbyder en bred vifte af it-services, herunder … kommunikation samt hosting … [F9] er erfaringsmæssigt ikke særligt samarbejdsvillige, og det skønnes ikke muligt at få oplysninger fra dem. Pengene er overført til Sydafrika til et ”firma”, der ikke har kunnet identificeres.

Ad 2) [Betalingerne den 22., 23. og 24. august 2018 til F4 på i alt 9.950 EUR]

Transaktionerne er foretaget fra IP-adresser -155, -160, -183.

Efterforskningen har vist, at MasterCard kortet er blevet brugt fra en IP-adresse  tildelt firmaet [F10]. Firmaet udlejer serverplads til kunder over hele verden. … Den registrerede brugers IP-adresse kan anvendes af andre, hvis brugeren giver tilladelse til dette. De omhandlede IP-adresser er ifølge [F10] alle registrerede til [person] i USA. [F10] er ikke længere i besiddelse af log oplysninger, da de blev slettet efter et år.

[F4] har oplyst, at der er købt bitcoins for beløbene. Kunden har i kontakt med dem anvendt telefonnummeret … Dette telefonnummer er registreret til teleoperatøren [V] i Belgien. [V] vil ikke medvirke til sagens oplysning uden retskendelse.

Der er efter min vurdering tale om avanceret organiseret kriminalitet iværksat fra udlandet. Det er min vurdering, at der på nuværende tidspunkt ikke er en rimelig formodning om, at efterforskning iværksat fra Danmark vil kunne føre frem til at gerningsmændene vil kunne identificeres og blive udleveret til Danamark. …”

Klageren fremlagde endvidere korrespondance mellem ham og F4 i perioden juni-juli 2019, hvori F4 blandt andet oplyste, at F4 havde sendt bitcoins til digitale kryptovaluta wallets, der var registreret på klagerens konto hos F4. Klageren svarede, at han ikke havde oprettet en konto hos F4, og at den anførte konto var oprettet på et falsk grundlag, herunder med falsk telefonnummer og mailadresse. Klageren har yderligere blandt andet fremlagt en artikel fra Ingeniøren om mulighed for hacking af en anden persons telefonnummer ved udlevering af sim-kort.

Parternes påstande

Klageren har nedlagt påstand om, at Danske Bank skal tilbageføre de ikke vedkendte hævninger med en rente på 8 % p.a. fra overførselsdatoerne.

Danske Bank har nedlagt påstand om principalt frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har blandt andet anført, at det fremlagte materiale beviser, at der er tale om tredjemandsmisbrug. Politiet har undersøgt de omhandlede IP-adresser, som pengene er overført fra, og som tilhørte tredjemand.

Det fremlagte materiale beviser, at banken alene har været ude på at ”mele egen kage”, og at banken med den ene usandhed efter den anden har forsøgt at sætte ham i et dårligt lys.

Uanset politiets undersøgelse insinuerer banken fortsat, at han selv har overført pengene og svaret på sms’erne. Dette er forkert.

Banken påstod hårdnakket, at man ikke kan hacke sig ind på en mobiltelefon, og at han selv havde åbnet sms’erne. Dette er forkert. Den fremlagte artikel fra Ingeniøren viser, at det er muligt at hacke sig ind på en mobiltelefon.

Han fik en stor telefonregning, der omfattede opringninger fra udlandet for ca. 500 kr., selvom han ikke havde været i udlandet. Det er uden tvivl ejerne af de omhandlede IP-adresser, der har overført pengene, som har fået fingre i et ekstra sim-kort, som man dengang kunne anskaffe sig i enhver it-forretning uden dokumentation. Han har forsøgt at undersøge, om der blev udstedt et ekstra sim-kort til hans telefon, men hans teleudbyder gemmer kun oplysninger i ét år.

Banken henholder sig til Nets udsagn om, at det er umuligt at hacke sig ind på en mobiltelefon, selv det modsatte er bevist. Bankerne og Nets har siden 2015 vidst, at der var huller i deres sikkerhedssystem uden at gøre noget ved det. Banken burde gå efter de personer, der anvendte de omtalte IP-adresser og sim-kort til de ulovlige pengeoverførsler.

F4 har bekræftet og beklaget bedrageriet, der er gået igennem F4’s sikkerhedskontrol. Korrespondancen med F4 viser, at banken aldrig har henvendt sig til F4, og at han har ikke haft en tvist med F4. Banken har sikkert heller ikke henvendt sig til F3. Han kendte ikke og har ikke kunnet finde frem til F3.  

Personen, der ringede til ham og udgav sig for at være fra bankens bedrageriafdeling, var i besiddelse af nøglekortnumrene.

Banken har anført, at han ikke har efterkommet bankens opfordring til at fremlæge korrespondance med M1. Banken forlangte, at alt på hans PC skulle slettes. Han tilbød banken at overgive sin PC til bankens bedrageriafdeling, hvilket banken afviste. Han indleverede straks efter mødet med banken den 1. oktober 2018 sin PC til et it-firma til rensning for virus. Alt blev slettet og han fik ny e-mailadresse og nyt telefonnummer. Det er således bankens skyld, at han ikke er i stand til at fremlægge korrespondance med M1.

Banken har henvist til hans historik. Banken har ikke forholdt sig til sin egen historik. På et møde i januar 2017 oplyste banken, at den ikke kendte tre firmaer, F5, F6 og et tredje firma F11, som han havde tænkt sig at investere i, og at banken derfor ikke kunne anbefale firmaerne. Der var allerede dengang udstedt internationale advarsler om, at man skulle holde sig fra disse firmaer. Havde banken oplyst ham herom, hvad banken ikke gjorde, ville han ikke have investeret i firmaerne. Det er uforståeligt, at banken ikke ved en opringning spurgte ham, om overførslerne til F3 og F4 var korrekte.

Han har gentagne gange forsøgt at få et møde i stand med banken, men banken vil kun mødes om sagen med en advokat. Han har efter 12 forgæves forsøg opgivet af finde en advokat til at repræsentere sig.

Danske Bank har til støtte for frifindelsespåstanden henvist til bankens anbringender og det fremførte i bankens tidligere svarskrift af 3. januar 2019 i sag nr. 401/2018.

Transaktionerne skete inden reglerne omkring stærk kundeautentifikation trådte i kraft. Klageren befandt sig ikke i en stresset situation, da han videregav sine oplysninger til tredjemand. Klageren var i begge indsigelsessager i telefonisk kontakt med svindlerne, men transaktionerne blev alene muliggjort ved, at klageren efterfølgende i en ikke-presset situation sendte kopi af sine kortoplysninger, og pas for så vidt angår F4-sagen, til tredjemand.

Klageren burde have indset, at der var risiko for misbrug. Klageren hæfter derfor efter betalingslovens § 100, stk. 5. Klageren havde tidligere oplevet denne form for svindel. Klageren burde henset til sin historik have søgt rådgivning og/eller validering af de pågældende personer/firmaer, inden han fremsendte kopi af sine kortoplysninger og pas. Banken havde ved flere lejligheder, herunder på dagen, men før de første transaktioner i sagen, advaret klageren om, at han var offer for svindel og vejledt ham i, hvordan han kunne undgå svindel, blandt andet ved ikke at fremsende (tilslørede) kortoplysninger. Det savner rimelighed, hvis en bank skal hæfte for en kundes letsindighed og skødesløshed, når banken gentagne gange og ved konkrete hændelser har advaret klageren mod sådan adfærd. Såfremt Ankenævnet finder, at klageren ikke hæfter i henhold til betalingslovens § 100, stk. 5, hæfter klageren med 8.000 kr., jf. betalingslovens § 100, stk. 4, for hver af de respektive indsigelsessager.

De anførte IP-adresser blev behandlet under den oprindelige ankenævnssag. Klagerens nye korrespondance med F4 bidrager ikke med nyt til sagen, idet F4 ikke kunne give et klart svar, men måtte henvise til politiet. Henset til at klageren har tidligere anført, at han ikke kendte F4, indikerer F4’s svar, at tredjemand havde adgang til nogle af klagerens oplysninger, herunder foto med klagerens ansigt og pas. Dette blev allerede behandlet i den oprindelige ankenævnssag, hvor det af de fremlagte bilag fremgik, at klageren i forbindelse med F4-sagen havde fremsendt fotokopi af blandt andet sit pas til tredjemand. Den påståede hacking af klagerens mobiltelefon er aldeles udokumenteret. Hacking blev behandlet i den oprindelige ankenævnssag. Klageren har ikke dokumenteret, at der blev udstedt et ekstra sim-kort til hans telefon. Også samtalen med en person, der udgav sig for at være fra bankens kontor i London, blev behandlet i den oprindelige ankenævnssag.

Danske Bank har til støtte for afvisningspåstanden blandt andet anført, at banken har dokumenteret, at transaktionerne er korrekt registreret og bogført og ikke var ramt af tekniske svigt eller andre fejl, samt at den til kortene hørende personlige sikkerhedsforanstaltning blev anvendt ved transaktionerne. Det er ubestridt, at klageren modtog sms’erne. Banken har således løftet bevisbyrden, jf. betalingslovens § 98, stk. 1. Det må herefter være op til klageren bevise, at han ikke godkendte transaktionerne. Klageren har fortsat ikke løftet denne bevisbyrde.

Klagerens nye bilag med korrespondance med politiet ændrer ikke ved det i den oprindelige ankenævnssags fremførte faktum. Det fremgår heraf, jf. blandt andet brev af 7. november 2018 fra klagerens daværende advokat, at politiet, advokaten og banken var af den opfattelse, at klageren var offer for svindel, hvor svindlerne ”under forskellige påskud havde fået dig [klageren] til at godkende en række transaktioner med 3d koderne”. Politiets efterforskning, jf. klagerens nye bilag, førte ikke til en afgørelse/dom over eventuelle tredjemandsmisbrugere. Derimod måtte politiet opgive efterforskningen. Det er fortsat uafklaret, om der er tale om tredjemandsmisbrug, om klageren medvirkede til eller eventuelt selv gennemførte transaktionerne, eller hvem de eventuelle tredjemandsmisbrugere måtte være.

Sagen har en principiel juridisk karakter, ligesom en nærmere afklaring af hændelsesforløbet fortsat vil kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring og/eller sagkyndig bevisførelse, hvorfor sagen bør afvises.

Ankenævnets bemærkninger

Klageren gjorde ved indsigelsesblanket af 14. august 2018 indsigelse mod tre transaktioner på i alt 3.700 USD foretaget den 10. august 2018 til et firma, F3, der efter det oplyste er en sydafrikansk børsmæglervirksomhed. Ved indsigelsesblanket af 28. august 2018 gjorde klageren indsigelse mod seks transaktioner på i alt 9.950 euro foretaget den 22., 23. og 24. august 2018 til et firma, F4, der udbyder bitcoin/kryptovaluta.

Danske Bank har oplyst, at de omtvistede betalinger med klagerens betalingskort skete ved brug af kortnumrene og de trecifrede sikkerhedsnumre samt ved brug af Nets sikkerhedsløsning 3D Secure ved anvendelse af sms-engangskoder sendt til klagerens telefonnummer.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Klageren har anført, at han ikke har foretaget eller godkendt betalingerne, at han ikke har kendskab til F3 eller F4, og at han ikke har gjort brug af sms-engangskoderne. Banken har bestridt dette.

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt af afgøre, om der foreligger et misbrug, herunder om der er tale om misbrug under sådanne omstændigheder, at klageren hæfter helt eller delvist for tabet, jf. betalingslovens § 100, herunder betalingslovens § 100, stk. 5, om ubegrænset hæftelse. Ankenævnet finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.