Uppgifter om händelseförloppet
En inloggning i kundens mobilbank gjordes 20.3.2024 kl. 10:25 med kundens personliga användarkod och lösenord som ingick i kundens nätbankskoder samt med en engångskod som banken skickat per SMS. Inloggnings-SMS:et skickade banken till kunden kl. 10:25:
”Kod: 1993 [Banken] SMS-verifiering.”
Efter det skickade banken till kunden 20.3.2024 kl. 10:26 per SMS en aktiverings-kod för ibruktagning av Google Pay:
"Ange engångskoden 719412 i Wallet för att aktivera ditt [banken]kort som slutar på 2168 för Google Pay. Koden är giltig i 2 timmar."
Ibruktagningen av Google Pay bekräftades med koden i SMS:et. Efter det skicka-des till kunden 20.3.2024 kl. 10:27 ett SMS om ibruktagningen av Google Pay:
"Ditt kort 2168 har lagts till i Google Pay. Om det inte var du - ring vår Spärrtjänst omedelbart. Numret finns längst ner på vår webbplats."
En kort tid därpå, kl.10.29, 10.30, 10.36, 10.42 och 10.47, skickade banken till kunden också SMS med en aktiveringskod som ibruktagningen av bankens identifieringsapplikation X förutsätter, men de koderna utnyttjades inte.
Omkring ett dygn senare, 21.3.2024, gjordes fyra kortköp med Google Pay till ett sammanlagt värde av 968,76 euro (371,00 €, 139,64 €, 214,71 € och 243,41 €).
Först spärrades kundens kort tillfälligt 21.3.2024 kl. 12.37, och det spärrades permanent kl. 14.45 på grund av misstänkt bedrägeri. I samband med den första spärrningen underrättades kunden per SMS om spärrningen kl. 12:20:
”Hej. Vi behöver komma i kontakt med dig gällande ditt [banken] kort. Vänligen ring vår spärrtjänst på tel, +358xxxxxxxx. Vi har nu tillfälligt spärrat ditt kort pga. misstänkta transaktioner.”
Kundens yrkanden hos FINE
Kunden kräver att banken ersätter honom samtliga fyra betalningar på 968,16 euro.
Kunden har inte, såsom banken hävdar, godkänt någon av de fyra reklamerade transaktionerna vare sig genom Google Pay eller på annat sätt. Kunden har inte gjort någon anslutning till Google Pay, inte heller försökt göra det. Något SMS som skulle bekräfta att Google Pay är aktiverat på enheten har kunden inte mottagit, och Google Pay har aldrig aktiverats på någon av kundens enheter. SMS:en må ha levererats till kunden, men de har aldrig nått hans telefon. Kunden såg koden för första gången i bankens genmäle.
Ändå har koden i det första meddelandet kommit till användning eftersom någon annan kunnat registrera sig på Google Pay. Av de fyra påtalade betalningarna har kunden inte godkänt någon. Två av dem godkändes dessutom först dagar efter att kreditkortet drogs in. Dagen efter ovannämnda meddelanden fick kunden den 21.3 kl. 12:20 ett SMS från banken om att misstänkta transaktioner förekommit på kundens Mastercard. Kl. 14:37 ringde kunden spärrtjänsten och därefter omedelbart kl. 14:47 till bankens kontor. Detta var första gången kunden fick kännedom om de ifrågavarande transaktionerna. Om kunden själv godkänt transaktionerna skulle väl banken inte ha ansett dem vara tvivelaktiga.
Banken uppger sig ha skickat fem likalydande SMS till kunden 20.3.2024 kl. 10:29, 10:30, 10:36, 10:42 och 10:47 i vilka en fyrsiffrig kod ges. Koden i samtliga meddelanden är densamma. Kunden mottog fem SMS den 20.3.2024 och ytterligare en den 21.3.2024 med lika många olika koder.
Kort efter meddelandena försökte kunden upprepade gånger identifiera sig med bankens bankkoder på Omakanta som skickat honom ett e-postmeddelande med uppmaning att ge en uppskattning om hans hälsotillstånd. Kunden får årligen ett sådant meddelande, varför kunden utgick från att det var dags igen. Då kunden försökte identifiera sig fick han ett SMS från banken om att bankens mobilapplikation X just nu aktiveras med hans bankkoder i en ny enhet och en uppmaning att ringa bankens spärrtjänst om det inte är han. I meddelandet ingick också en kod som kunden skulle använda om det var kunden. Eftersom kunden precis då höll på med att identifiera sig med bankkoderna uppfattade han det som att det var han som höll på att aktivera sin X. Eftersom identifieringen inte lyckades försökte kunden på nytt några gånger och fick varje gång samma meddelande från banken. Till slut insåg kunden att det rörde sig om ett bluffmeddelande. Frågan är dock om detta har ett samband med den kriminella registreringen av Google Pay, eftersom det skedde först efter att e-postmeddelandet med koden för registrering på Google Pay sändes till honom.
Banken hänvisar i sitt beslut till två reklamerade betalningar trots att kunden reklamerat fyra. Då kunden besökte bankens kontor den 22.3.2024 kl. 11:00 upplyste en banktjänsteman kunden om att två korthändelser gått genom medan två övriga avvisats, varför endast två behövde reklameras. Då de två senare dök upp skickade han enligt överenskommelse med bankens kontor en komplettering till brottsanmälan. Därför borde banken ha behandlat också dem. Påståendet att banken inte fått någon uppgift om andra korthändelser stämmer därför inte.
Banken har inte framfört några som helst bevis för det som påstås i beslutet och några bevis för att kunden skulle ha godkänt någon av de fyra reklamerade betalningarna på Google Pay. Därför anser kunden att det att banken inte anser sig skyldig att ersätta de fyra i reklamationen framkomna händelserna saknar grund, eftersom varje del i motiveringen är felaktig. Kunden kräver alltså att banken ersätter samtliga fyra reklamerade transaktioner.
Tjänsteleverantörens bemötande
Bankens utredning visar att de reklamerade korttransaktionerna godkänts genom stark autentisering via Google Pay. Google Pay har anslutits via Mobil- banken genom stark autentisering och två SMS har skickats till kundens telefonnummer i samband med anslutningen av Google Pay.. Det första SMS:et innehöll en aktiveringskod för Google Pay och följande SMS var en bekräftelse på att Google Pay hade anslutits. Enligt utdrag ur bankens system kan det konstateras att samtliga SMS har levererats till kunden till det telefonnummer som kunden uppgett. Bankens utredning visar att telefonnumret inte har ändrats i samband med inloggningen, telefonnumret har varit oförändrat sedan 2018.
20.3.2024, kl. 10:26:
"Ange engångskoden 719412 i Wallet för att aktivera ditt [banken]kort som slutar på 2168 för Google Pay. Koden är giltig i 2 timmar."
20.3.2024, kl. 10:27:
"Ditt kort 2168 har lagts till i Google Pay. Om det inte var du - ring vår Spärrtjänst omedelbart. Numret finns längst ner på vår webbplats."
Genom att ange koden i det första SMS:et har kunden möjliggjort aktiveringen av Google Pay, som sedan använts för att genomföra transaktionerna. Koden var endast giltig i 2 timmar från att den levererats till kundens telefon. Efter aktiveringen har det skickats ytterligare en uppmaning om att kontakta spärrtjänsten ifall det inte är kunden själv som aktiverat Google Pay, vilket inte har gjorts. Utöver de reklamerade transaktionerna (21.3.2024, klo 11:15 - 371,00 € (O STORE MBG), klo 11:49 - 139,64 € (Uniqlo Mbg Tc)) har också ytterligare 2 transaktioner godkänts med Google Pay.
Banken har inte informerats om de andra korttransaktionerna. I kundens första reklamation ingick inte uppgifter om övriga korttransaktioner, inte heller i kundens kundklagomål. Kunden nämner fyra korttransaktioner, men hans specifikation upptar endast två transaktioner och dem har banken redan tagit ställning till.
Kundens kort har tillfälligt spärrats 21.3.2024, kl. 12:17 på grund av misstänkta transaktioner och permanent spärrats kl. 14:45 på grund av misstänkt bedrägeri. Efter den första spärren har SMS skickats till kunden med information om spärren. SMS:en har skickats till samma telefonnummer som de ovannämnda SMS:en.
Det fullständiga telefonnumret som samtliga SMS har skickats till är +358 xx xxx xx34. Telefonnumret för mottagande av SMS-koderna har inte ändrats under sessionerna 20–21.3.2024. Upprepade varningsmeddelanden har skickats till kunden per SMS både 20.3.2024 och 21.3.2024. Innehållet i SMS:en finns i den bifogade filen. Inget SMS har skickats till något annat telefonnummer än det som kunden uppgett. Det är därmed inte möjligt att Google Pay har aktiverats av någon utomstående om inte denna haft tillgång till den enhet som är kopplad till telefonnumret.
Enligt kortvillkoren 1.5.8 Begränsning av kortutgivarens ansvar ansvarar kort- utgivaren inte för verksamhet som bedrivs av tredje man. Kortutgivaren ansvarar således inte för abonnemangserbjudande, placeringstjänster, prisdifferenskontrakt eller dylikt som kortinnehavaren beställt eller köpt. Det är kortinnehavarens ansvar att i dessa fall kontakta betalningsmottagaren för att avsluta abonnemanget eller tjänsten.
Kortinnehavaren ska sträva efter att nå en överenskommelse med försäljare eller tjänsteleverantör om eventuella fel eller brister i de varor eller tjänster som köpts med kortet. Det går inte att återta godkännandet till en korttransaktion efter att det är givet.
Banken anser mot bakgrund av ovanstående att korttransaktionerna varit behöriga och att banken därmed inte är ersättningsskyldig i ärendet.
Utredningar
Förutom parternas skrivelser som gäller klagomålet har följande handlingar getts in till nämnden:
- En lista över de SMS som banken 20–21.3.2024 skickat till kunden
- En skärmdump av det SMS som banken 21.3.2024 kl. 12.20 skickat till kunden angående spärrning av kortet
- En skärmdump av det e-postmeddelande som kunden 23.3.2024 skickade till polisen och som kunden 2.4.2024 skickat vidare också till banken
Beslutsrekommendation
Frågeställning
För att kunna avgöra ansvarsfördelningen mellan kunden och banken behöver Banknämnden avgöra om det kan anses att kunden har gett sitt i 38 § i betaltjänstlagen avsedda samtycke till de reklamerade korttransaktionerna i fråga eller om betalningstransaktionerna bör betraktas som obehöriga.
Tillämplig lagstiftning och villkor
I 38 § (Betalarens samtycke till att en betalningstransaktion genomförs) i betaltjänstlagen föreskrivs följande:
En betalningstransaktion får genomföras endast om betalaren har gett sitt samtycke. En betalningstransaktion som betalaren inte har samtyckt till på avtalat sätt anses vara obehörig.
Betalaren får återkalla sitt samtycke senast vid den tidpunkt som avses i 40 §.
I 53 § (Skyldigheter som gäller betalningsinstrument) i betaltjänstlagen föreskrivs följande i 1–2 mom.:
Innehavaren av ett betalningsinstrument ska använda detta i enlighet med villkoren för beviljande och användning. Innehavaren ska i synnerhet vidta skäliga åtgärder för att skydda betalningsinstrumentet och tillhörande personliga säkerhetsbehörighetsuppgifter. Villkoren för beviljande och användning av betalningsinstrumentet får inte vara ogrundade, oskäliga eller diskriminerande. Innehavarens skyldighet att skydda betalningsinstrumentet och tillhörande personliga säkerhetsbehörighetsuppgifter inträder när han eller hon tar emot dem.
I lagens 54 § (Anmälan om att betalningsinstrument förlorats) föreskrivs följande i 1 mom.:
Innehavaren av ett betalningsinstrument ska utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som tjänste- leverantören utsett om att betalningsinstrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.
I lagens 62 § (Betaltjänstanvändares ansvar för obehörig användning av betalningsinstrument) föreskrivs följande:
En betaltjänstanvändare som har ingått avtal om ett betalningsinstrument med en tjänsteleverantör ansvarar för användningen av ett betalningsinstrument som har förlorats eller orättmätigt innehas av någon annan eller för annan obehörig användning av betalningsinstrumentet endast om den obehöriga användningen beror på att betaltjänstanvändaren eller någon annan inne- havare av betalningsinstrumentet
1) har överlåtit det till någon som inte är behörig att använda det,
2) av vårdslöshet har försummat sina skyldigheter enligt 53 § 1 mom., eller
3) har försummat att utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som denne utsett om att betalnings- instrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.
I de fall som avses i 1 mom. 2 och 3 punkten är betaltjänstanvändarens ansvar för obehörig användning av betalningsinstrumentet högst 50 euro. Denna begränsning tillämpas dock inte om betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet har handlat avsiktligt eller grovt vårdslöst.
Betaltjänstanvändaren ansvarar inte för obehörig användning av betalnings-instrumentet
1) till den del som betalningsinstrumentet har använts efter att tjänsteleverantören eller någon annan som denne utsett har underrättats om att betalningsinstrumentet förlorats, orättmätigt innehas av någon annan eller används obehörigen,
2) om tjänsteleverantören har försummat att se till att en innehavare av ett betalningsinstrument har möjlighet att när som helst göra anmälan enligt 1 punkten,
3) om betalningsmottagaren vid användningen av betalningsinstrumentet inte vederbörligen har försäkrat sig om betalarens rätt att använda instrumentet, eller
4) om tjänsteleverantören inte har krävt stark kundautentisering av betalaren.
Trots 3 mom. är betaltjänstanvändaren ansvarig för obehörig användning av ett betalningsinstrument, om användaren eller någon annan innehavare av betalningsinstrumentet avsiktligt har lämnat en oriktig anmälan eller annars handlat bedrägligt.
I lagens 63 § (Tjänsteleverantörens ansvar för obehöriga betalningstrans- aktioner) föreskrivs följande i 1 mom.:
Om en betalningstransaktion har genomförts obehörigen och om inte något annat följer av 62 § ska tjänsteleverantören till den kund vars medel har använts för att genomföra transaktionen omedelbart och senast följande bankdag efter det att tjänsteleverantören har noterat eller underrättats om transaktionen återbetala transaktionens belopp till kunden eller återställa det debiterade betalkontots kontoställning till vad den skulle ha varit om debiteringen inte hade ägt rum.
Bedömning
Av tydlighetsskäl konstaterar Banknämnden inledningsvis att den utgående från den erhållna utredningen i ärendet, och i synnerhet de e-postmeddelanden som kunden gett in, anser att det har klarlagts att kunden inom kort efter händelserna har reklamerat till banken alla de fyra kortbetalningarna, även om bankens reklamationsbeslut till kunden har gällt endast två kortbetalningar.
Vad beträffar händelserna 20.3.2024 anser Banknämnden utgående från den erhållna utredningen i ärendet att det är sannolikt att kunden via en länk i brottslingarnas e-postmeddelande som påstods vara från MittKanta har hamnat på en bluffsida som brottslingarna lagt upp och att kunden där har använt sina bankkoder för att logga in i myndighetstjänsten. Brottslingarna har fått tillgång till den information som kunden skrivit in på bluffsidan, och med hjälp av den har de på sin egen enhet loggat in i kundens mobilbank. Där har brottslingarna med användning av koden i det SMS som banken 20.3.2024 kl. 10:26 skickade till kunden aktiverat tjänsten Google Pay med kundens kortuppgifter.
Banknämnden konstaterar att de omtvistade kortbetalningarna har gjorts av brottslingarna, som använt sig av Google Pay. Kunden har därmed inte gett sitt i 38 § i betaltjänstlagen avsedda samtycke till betalningarnas genomförande, alltså är betalningarna obehöriga. Enligt 63 § i betaltjänstlagen ska banken gottgöra kunden det belopp som obehöriga betalningstransaktioner har uppgått till, om inte något annat följer av 62 §.
I fallet har banken åberopat att kunden själv möjliggjorde aktiveringen av Google Pay genom att skriva in en kod som fanns i ett SMS från banken, och banken har ansett att korttransaktionerna varit behöriga och att banken därmed inte är ersättningsskyldig i ärendet. Dessutom har banken åberopat en punkt i kortvillkoren som gäller begränsning av bankens ansvar för tjänster som kort-innehavaren har beställt eller köpt.
Enligt den åberopsbörda som tillämpas allmänt i tvisteärenden får de omständigheter som ett avgörande grundar sig på inte avvika från de omständigheter som parterna har åberopat som stöd för sina yrkanden. I punkt 2.2 i uppförandekodexen för FINEs tvistlösning åläggs FINEs byrå och nämnderna vid FINE att iaktta en bördebestämmelse, enligt vilken tjänsteleverantören ska framföra alla fakta som tjänsteleverantören anser vara relevanta för att lösa problemet och eventuella andra förhållanden som stöder serviceleverantörens synpunkt inte ska beaktas vid behandlingen, om inte kundens krav är uppenbart ogrundat.
Utgående från vad som sägs ovan och eftersom banken i fallet inte har åberopat någon i 62 § i betaltjänstlagen angiven grund som påför kunden ansvaret för obehörig användning av betalningsinstrument, bedömer Banknämnden vid sin prövning av ansvarsfördelningen mellan kunden och banken endast om kort- betalningarna i fråga har varit obehöriga på det sätt som avses i 38 § i betaltjänstlagen.
I överensstämmelse med vad som sägs ovan anser Banknämnden att de omtvistade kortbetalningarna varit obehöriga på det sätt som avses i betaltjänstlagen och att banken ska ansvara för dem i enlighet med lagens 64 §.
Slutsats
Banknämnden rekommenderar att banken åtar sig att svara fullt ut för den skada som uppkommit i ärendet och gottgör kunden det penningbelopp som kortbetalningarna i fråga har uppgått till.
Banknämnden var enhällig.
BANKNÄMNDEN
Ordförande Sillanpää
Sekreterare Hidén
Medlemmar:
Atrila
Piilo
Punakivi
Tervonen