Du hæfter ikke for betalinger, hvis banken ikke har to-faktor sikkerhed

Senest opdateret: 29. august 2023Af Tags:

Siden den 14. september 2019 har en bestemmelse i betalingsloven stillet ekstra krav til den sikkerhed, kortudstedere (banker og kreditkortselskaber) knytter til brugen af deres betalingskort. Den ekstra sikkerhed, som også omtales som ”stærk kundeautentifikation” og ”to-faktor autentifikation”, betyder, at du som kunde kun kan komme til at hæfte for betalinger, du ikke selv har foretaget, hvis der er knyttet mindst 2 af 3 mulige sikkerhedselementer til brugen af kortet. De 3 mulige sikkerhedselementer er:

  • Noget du ved (f.eks. et kodeord)
  • Noget du besidder (f.eks. en app eller en SMS-kode du modtager på din mobil)
  • Noget du er (f.eks. et fingeraftryk)

I praksis ser det ud til at komme til at betyde, at du skal godkende køb på nettet på en af følgende to måder fremover:

  • Med dit NemID
  • Med den 3D Secure SMS-kode, du sikkert kender + en ekstra selvvalgt kode

Du kan læse mere om, hvordan du vælger den ekstra kode og om den nye sikkerhed på Nets’ hjemmeside.

Selv om bankerne først nu er ved at implementere denne ekstra sikkerhed, trådte de nye regler som nævnt i kraft den 14. september 2019. Har du efter den dag været udsat for misbrug af den ene eller anden slags af dit betalingskort, har du derfor krav på at få pengene tilbageført af din bank. I den forbindelse skal du blot henvise til betalingslovens § 100, stk. 7.

Det bekræfter en nylig afgjort sag fra Det finansielle ankenævn.

I sag 165/2020 havde Lisbeth den 20. januar 2020 modtaget en falsk mail med et fødselsdagstilbud. Mailen så ud som om den kom fra et flyselskab, Lisbeth før havde fløjet med, og ifølge mailen kunne hun få en billig flybillet for 80 kr. Hun klikkede på linket i mailen, indtastede sine kortoplysninger på hjemmesiden og fik derefter tilsendt en godkendelseskode via SMS. Da det af SMS’en fremgik, at der ville blive hævet 8.500 kr. og ikke kun 80 kr., indtastede Lisbeth ifølge hendes egen forklaring ikke koden. På trods heraf blev de 8.500 kr. imidlertid hævet på hendes konto.

Der var uenighed om, om Lisbeth rent faktisk havde godkendt betalingen eller ej. Lisbeth oplyste som nævnt selv, at hun havde tastet kortoplysningerne ind og modtaget 3D Secure SMS-koden, men at hun ikke brugte SMS-koden, da hun ved modtagelsen af den så, at beløbet var et helt andet, end det hun regnede med. Banken derimod fastholdt, at Lisbeth måtte have godkendt betalingen med SMS-koden, idet systemet viste, at det var tilfældet, og at betalingen ikke kunne være gået igennem, hvis ikke hun havde indtastet koden.

Ankenævnet fandt det imidlertid slet ikke nødvendigt at tage stilling til den uenighed. I stedet konstaterede nævnet, at banken jo faktisk som sikkerhed omkring disse betalinger kun benyttede én af de 3 sikkerhedselementer nævnt ovenfor, nemlig SMS-koden. ”Noget du er” elementet var ikke til stede, og ”noget du ved” var heller ikke en del af sikkerheden. Ankenævnet bemærker i den forbindelse, at kortoplysningerne ikke er ”noget du ved”, da disse ikke er hemmelige, men derimod synlige på kortet.

Allerede fordi bankens sikkerhed i relation til brug af kortet således ikke levede op til reglerne, havde Lisbeth derfor krav på at få hele beløbet tilbage.

Se også lignende afgørelse i Det finansielle ankenævns sag 122/2020, afgjort 20. januar 2021.

Skriv en kommentar