Når du betaler med dit kort på nettet, er det i dag blevet standard, at du modtager en SMS med en engangskode, du skal indtaste på hjemmesiden, inden betalingen gennemføres. I hvert fald når der er tale om et beløb af en vis størrelse.

Hvor grundigt læser du indholdet af den SMS?

To nye afgørelser fra Det finansielle ankenævn viser, at det kan koste dig dyrt, hvis ikke du tjekker, at det er det rigtige beløb, der fremgår af SMS’en. Men samtidig har det også betydning, hvordan SMS’en er formuleret.

Kunden hang på betaling på 19.000 kr. (sag 17/2020)

I denne sag havde Michael modtaget en e-mail, der så ud til at stamme fra et flyselskab. I mailen fik han at vide, at han som et specielt jubilæumstilbud for kun 80 kr. kunne købe to kuponer, der efterfølgende kunne bruges til to flybilletter til hele verden.

Der var selvfølgelig tale om en phishing-mail, men det var Michael ikke klar over, og han klikkede derfor på linket i mailen for at gøre brug af tilbuddet og gennemførte bestillingen på hjemmesiden. Da han foretog betalingen med sit Mastercard, af hvad han troede var 80 kr., modtog han på sin mobil en SMS-kode, som han indtastede på hjemmesiden uden i øvrigt at læse indholdet af SMS’en.  Efterfølgende opdagede Michael, at der ikke kun var hævet 80 kr. på hans kort, men næsten 19.000 kr., hvilket også fremgik af den SMS, han havde modtaget.

Michael klagede til sin bank og krævede pengene tilbage, men banken afviste, da Michael havde godkendt betalingen med SMS-koden og nemt kunne have opdaget svindlen, hvis han havde læst SMS’en.

Det finansielle ankenævn var enig med banken.

Ankenævnet konstaterede, at det var en phishing-mail, Michael havde modtaget, og at Michael således havde været udsat for svindel.

Betalingsloven beskytter os forbrugere ret godt i sådanne situationer, men loven indeholder også en bestemmelse om, at man selv hænger på hele tabet, hvis man i en situation, hvor man burde have indset, at der var risiko for misbrug, med vilje oplyser den engangskode, man modtager pr. SMS, til svindleren.

Det var netop, hvad Michael havde gjort, og når han burde have indset, at der var tale om svindel, så var det fordi det tydeligt fremgik af den SMS, han modtog, at han var ved at godkende et købt på 19.000 kr. Her burde alarmklokkerne have lydt, når Michael selv troede, at han var ved at købe noget til 80 kr.

Ankenævnet lagde i den forbindelse vægt på, at SMS’en var bygget sådan op, at den først nævnte navnet på beløbsmodtageren, derefter beløbets størrelse og først derefter engangskoden. Michael kunne således ikke have undgået at se beløbets størrelse.

Michael skulle med andre ord have læst SMS’en, idet han så ville have opdaget, at han ikke var ved at betale 80 kr., men 19.000 kr. og dermed have undladt at gennemføre betalingen. Fordi han ikke havde gjort det, mistede han 19.000 kr.

(Bemærk, at sager som denne ikke kan sammenlignes med sager, hvor du er blevet ringet op af en svindler og betalingen foregår, mens du taler med svindleren. Ankenævnet henviser i sagen specifikt til, at Michael i modsætning til sådanne svindelsager ikke befandt sig i en tilsvarende presset situation. Klik her for at læse om sådanne sager.)

Kunden fik betaling på 19.000 kr. tilbage af banken (sag 16/2020)

I en anden meget lignende sag afgjort af Det finansielle ankenævn samme dag nåede ankenævnet frem til det modsatte resultat. I denne sag havde en person modtaget nøjagtig samme SMS og havde også gennemført købet og godkendt en betaling på 19.000 kr.

Den afgørende forskel til sagen ovenfor var, at SMS’en med engangskoden var bygget op på en anden måde. I stedet for først at nævne betalingsmodtager og beløb, nævnte SMS’en i denne sag først engangskoden og først derefter betalingsmodtager og beløb.

Efter ankenævnets opfattelse var det en uhensigtsmæssig rækkefølge at angive informationerne i, idet det gjorde det muligt for brugerne at se koden uden først at se den øvrige tekst. Den uhensigtsmæssighed kunne banken nemt have undgået, og ankenævnet fandt derfor, at banken var nærmest til at bære tabet i den situation, og kunden fik derfor sine 19.000 kr. tilbage.

Uanset hvordan SMS’erne er formuleret, er det imidlertid altid en god ide at tjekke modtager og beløbets størrelse. Den SMS, du modtager med disse oplysninger, er en væsentlig del af sikkerheden i hele systemet, og det kræver altså ikke ret meget af os forbrugere at tjekke disse tre ting. På den måde medvirker vi både til at begrænse svindel og beskytter os selv mod at tabe penge som Michael ovenfor.