Uppgifter om händelseförloppet
Kunden bestrider att det var han som på Kanarieöarna med sitt kombinations-kort och kortets pinkod 4.12.2019 kl. 21.36 gjorde ett kortköp till ett belopp av 890,00 euro och kl. 21.48–21.51 gjorde tre automatuttag till ett sammanlagt belopp av 811,85 euro. En spärranmälan för kortet gjordes 5.12.2019 kl. 09.01.
Kundens yrkanden hos FINE
Kunden och hans hustru åkte ner till Puerto Rico på Gran Canaria torsdagen den 28.11.2019 och tog in på hotellet. Kunden hade glömt ta med rakmaskinen och de bestämde att gå till köpcentret som låg närmast på fredagmorgon den 29.11. De hade före resan beslutat ta kontanter med så de inte behövde använda kort.
De köpte en rakmaskin som de prutade från 160 euro till 59 euro och betalade kontant. Eftersom det var Black friday bjöd de ut en Samsung tab för 40 euro och kunderna köpte också en sådan och betalade 40 euro kontant. Men när kunderna skulle ta den sade de att de måste skicka den till Las Palmas för att programmera den. Det Iät ju konstigt när de frågade när kunden skulle resa hem och kunden skulle få den kvällen innan kl. 20.00 och flyget till Finland skulle fara tidigt på torsdag morgonen.
När de kom för att hämta tabben fanns en kvinna och en man i affären men tyvärr hade de inte hunnit ordna om taxfree och garanti pappren. Mannen ringde då ett samtal och plötsligt var det 5-6 män som sprang runt kunden och hans hustru och skulle visa hur tabben fungera och prata på engelska. De skulle bjuda något att dricka men kunden vägrade ta emot. Det dröjde och dröjde och de nämnda pappren kom aldrig fram.
Efter en tid började de ge kundens hustru komplimanger och sade hon skulle få en present som var hörlurar om hon kom i ett annat rum. I andra rummet skulle hon höra på ljudkvaliteten och välja färg. När hon kom tillbaka kunden hade bankkortet i handen och hon frågade om han betalat något med det och han svarade att han betalat 9 euro för Googleprogrammet. Då tyckte hon också det verkade konstigt men hon lugnade ner sig. Det var en liten låda som likna en kortläsare som han använde som kortläsare och satte ju förstås sin pinkod. Den 9 euron som kunden där betalade har aldrig kommit upp som köp så de misstänker nog att kortet blev kopierat samt att pinkoden kom fram kanske genom någon spegel eller på annat sätt.
Sedan skulle ett antivirusprogram i tabben som tog länge att sätta in. Kunden tror de tog ut pengarna under den tiden när kunden satt där efter det de kopierat kortet och pinkoden för de kollade hela tiden om antivirusprogrammet var klart.
Kundens hustru var orolig och arg för allt verkade så mystiskt så hon sov inget på natten och genast på morgonen beslöt de att ringa och döda bankkortet. Kortet hade de ju kvar hela tiden tills de kom hem så när de upptäckte de blivit lurade for kundens hustru till banken.
Att skylla på att kunden haft kortet hela tiden ända hem är ju konstigt för det är ju också ett tecken på att han inte gett kortet åt någon. Kunden borde ju ha slängt kortet när de blev rädda att vara lurade om de hade tänkt vara oärliga.
Kunden kan sätta sitt huvud i pant på att han inte gett ifrån sig kortet och inte heller gett PIN-koden åt någon. Enda han använde sitt kort till var att betala 9 euro för Googleinstallationen vilket han tyckte var så liten summa att han kunde göra det fast de för att vara säkra kommit överens om att inte använda kort enbart kontanter. Kunden garanterar att de absolut inte gjort uttag eller inköp annat än den 9 euron som han skulle betala och det beloppet har ju aldrig kommit fram på någon faktura. De funderar kunde inte affären ändra 9 euro till vilka summor som helst. Kunden är väldigt besviken på banken som rent ut säger att han ljuger om att han gett kortuppgifterna åt någon.
Tjänsteleverantörens bemötande
Kunderna har uppgett i sin reklamation att de under en resa till Puerto Rico på Gran Canaria köpt en Samsung tablett som de betalat kontant. De fick inte tabletten genast med sig i samband med köpet, utan de ombads av säljaren att komma tillbaka kvällen före hemresan den 4.12.2019 eftersom tabletten skulle programmeras. Kunderna har uppgett att de tyckte att detta arrangemang var konstigt.
Kunderna har uppgett att det var flera försäljare involverade då de skulle hämta tabletten och att många papper uppgjordes då de kom på plats. Paret har uppgett att frun erbjöds en gåva och att hon ombads följa med till ett annat rum och att kunden under denna tiden använt sitt Mastercard kort för att betala en Google-anslutning om 9 euro. Paret har uppgett att de upplevde situationen konstig och att hela situationen drog väldigt länge ut på tiden. Frun har nästa morgon ringt till bankens kundtjänst och kortet spärrades under samtalets gång den 5.12.2020 kl. 09.01.
Kunden har reklamerat följände transaktioner (alla klocksslag är i finsk tid):
- 4.12.2019 kl 21:36 890,00 €
- 4.12.2019 kl 21:48 303,95 €
- 4.12.2019 kl 21:49 303,95 €
- 4.12.2019 kl 21:51 203,95 €
Kundens kort är ett kombinationskort, med vilket kortinnehavaren kan välja om man betalar inköp/tar ut kontanter antingen från kortkrediten eller direkt från bankkontot.
Förutom det reklamerade debituttaget om 203,95 euro kl. 21.51 har det försökts göra ett debituttag om ca 600 euro just före uttaget om 203,95 euro samt ett uttag om ca 300 euro strax efter, men dessa har inte lyckats på grund av uttagsgränsen. Det har även kl. 21:51 gjorts två försök att Iyfta medel från kortkrediten, 153,95 euro respektive 303,95 euro, men båda har misslyckats. Det finns inget som tyder på att en betalning om 9 euro skulle ha gjorts på kvällen 4.12.2019.
Från bankens system kan utläsas att kortets chip och PIN-kod har använts för att verifiera de 4 reklamerade transaktionerna. Ett kort med chip är nästan omöjligt att kopiera, så det är uppenbart att transaktionerna gjordes med det ursprungliga kortet och att PIN-koden varit känd för användaren. Banken känner inte till ett enda fall där kortets chip skulle ha kopierats. Chipet kan inte under några som helst omständigheter ha kopierats i samband med att kunden använde kortet på det sätt som beskrivs i reklamationen. Kunden har inte närmare beskrivit hur han förvarat kortet samt vem som haft tillgång till kortet medan han vistades i butiken.
Banken anser att kopiering av kortets chip inte har varit möjligt. På basen av erhållen utredning anser banken att kortet inte kan ha varit i kundens besittning under tiden då de reklamerade transaktionerna gjordes. Banken anser att kunden har förfarit grovt vårdslöst i och med att en utomstående person fått såväl kortet som där tillhörande PIN-kod i sin besittning. Paret har i sin reklamation beskrivit att de upplevde situationen väldigt konstig och mystisk, och på basen av allmän livserfarenhet borde de ha förstått situationens verkliga natur. Av ovannämnda orsaker, anser sig banken inte vara ersättningsskyldig för de reklamerade transaktionerna.
Utredningar
Förutom parternas skrivelser som gäller klagomålet har följande handlingar getts in till nämnden:
- Undersökningsanmälän (Anmälningstid 10.7.2020)
- Kortvillkoren
Beslutsrekommendation
Frågeställning
För att avgöra ansvarsfördelningen mellan kunden och banken behöver Banknämnden bedöma huruvida den obehöriga användningen av kortet kan anses vara en följd att kunden av vårdslöshet har försummat sina skyldigheter enligt 53 § 1 mom. i betaltjänstlagen och enligt kortvillkoren och huruvida kundens eventuella vårdslöshet har varit grov. Dessutom behöver det för kortbetalningens del bedömas huruvida betalningsmottagaren kan anses ha förvissat sig på behörigt sätt om betalarens rätt att använda kortet och huruvida kundens eventuella ansvar bör begränsas på den grunden.
Tillämplig lagstiftning och försäkringsvillkor
I 53 § (Skyldigheter som gäller betalningsinstrument) i betaltjänstlagen föreskrivs följande i 1 mom.:
Innehavaren av ett betalningsinstrument ska använda detta i enlighet med villkoren för beviljande och användning. Innehavaren ska i synnerhet vidta skäliga åtgärder för att skydda betalningsinstrumentet och tillhörande personliga säkerhetsbehörighetsupgifter. Villkoren för beviljande och användning av betalningsinstrumentet får inte vara ogrundade, oskäliga eller diskriminerande.
I lagens 62 § (Betaltjänstanvändares ansvar för obehörig användning av betalningsinstrument) föreskrivs följande:
En betaltjänstanvändare som har ingått avtal om ett betalningsinstrument med en tjänsteleverantör ansvarar för användningen av ett betalningsinstrument som har förlorats eller orättmätigt innehas av någon annan eller för annan obehörig användning av betalningsinstrumentet endast om den obehöriga användningen beror på att betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet
1)har överlåtit det till någon som inte är behörig att använda det,
2)av vårdslöshet har försummat sina skyldigheter enligt 53 § 1 mom., eller
3)har försummat att utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som denne utsett om att betalningsinstrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.
I de fall som avses i 1 mom. 2 och 3 punkten är betaltjänstanvändarens ansvar för obehörig användning av betalningsinstrumentet högst 50 euro. Denna begränsning tillämpas dock inte om betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet har handlat avsiktligt eller grovt vårdslöst.
Betaltjänstanvändaren ansvarar inte för obehörig användning av betalningsinstrumentet
1)till den del som betalningsinstrumentet har använts efter att tjänsteleverantören eller någon annan som denne utsett har underrättats om att betalningsinstrumentet förlorats, orättmätigt innehas av någon annan eller används obehörigen,
2)om tjänsteleverantören har försummat att se till att en innehavare av ett betalningsinstrument har möjlighet att när som helst göra anmälan enligt 1 punkten,
3)om betalningsmottagaren vid användningen av betalningsinstrumentet inte vederbörligen har försäkrat sig om betalarens rätt att använda instrumentet, eller
4)om tjänsteleverantören inte har krävt stark kundautentisering av betalaren.
Trots 3 mom. är betaltjänstanvändaren ansvarig för obehörig användning av ett betalningsinstrument, om användaren eller någon annan innehavare av betalningsinstrumentet avsiktligt har lämnat en oriktig anmälan eller annars handlat bedrägligt.
Den punkt i bankens allmänna kortvillkor som gäller kortinnehavarens ansvar för obehörig användning av kortet motsvarar de tvingande bestämmelser till förmån för konsumenter som finns i 62 § i betaltjänstlagen.
I punkten Förvaring av kortet och PIN-koden samt anmälan om förlorat kort i kortvillkoren sägs följande:
Kortinnehavaren förbinder sig att förvara kortet och dess uppgifter (såsom kortnumret, kortets säkerhetskod, giltighetstiden) samt kortets personliga kod omsorgsfullt så att utomstående inte får tag på dem eller har möjlighet att använda dem. Kortinnehavaren ska regelbundet, enligt gällande omständigheter, kontrollera att kortet finns kvar.
Den personliga PIN-koden ska förvaras separat från kortet så att utomstående inte får tag på den eller har möjlighet att använda dem. När kortinnehavaren knappar in koden ska han/hon göra det så att en utomstående inte kan se den. Kortinnehavaren får inte förvara sin PIN-kod i en lätt identifierbar form. Kortet ska förvaras omsorgsfullt så att det inte skadas eller utsätts för ovanligt stor belastning.
Om kortet eller kortuppgifterna förloras eller hamnar i en utomståendes händer eller om en utomstående får veta den personliga koden, ska [banken] utan dröjsmål underrättas. […]
Bedömning
Kopiering av kort
Banknämnden konstaterar att en viktig orsak till att man gick över till chipkort från att ha använt betalkort som bara hade magnetremsa var strävan att göra kortbetalningarna säkrare. Enligt Banknämndens uppfattning är det mycket svårt att kopiera och förfalska chipkort på grund av den säkerhetsprocessor som de innehåller, och nämnden känner inte till ett enda fall av kortmissbruk där kortets chip skulle ha kopierats. Nämnden konstaterar vidare att i sådana fall där kort kopieras är användningen av kortkopian inte tids- och platsbunden på samma sätt som obehörig användning av ett stulet ursprungligt kort. En kortkopia kan användas till och med en lång tid efter att kortinformationen har kopierats, och eventuellt kan användningen ske till exempel i ett land där det ursprungliga kortet och dess innehavare aldrig har varit.
Enligt Banknämndens uppgifter har det ingenstans i världen heller konstaterats något fall av kortmissbruk där kriminella skulle ha lyckats få tillgång till kortets pinkod med utgångspunkt i kortets chip eller magnetremsa eller där de skulle ha lyckats kringgå kravet att slå in rätt pinkod i en betalterminal eller uttagsautomat.
På basis av vad som konstateras här ovan och eftersom det av den erhållna utredningen i detta fall framkommit att de korttransaktioner som kunden bestridit har gjorts så att kortchipet har lästs och transaktionen har godkänts med kortets pinkod och detta har skett i Puerto Rico, där kunden själv befann sig när händelsen inträffade, anser Banknämnden att det i fallet inte är fråga om att kortet har kopierats. De kortbetalningar som kunden bestridit har därmed gjorts med kundens ursprungliga kort och dess pinkod.
Händelseförloppet
Banknämnden anser att det i fallet är otvistigt att kunden inte själv har vare sig gjort eller godkänt de korttransaktioner som nu har bestridits. Vidare anser nämnden utifrån utredningen i ärendet att kunden har fallit offer för kriminella som handlat planmässigt och att kunden under falska förespeglingar har fåtts att kvällen före hemresan till Finland återkomma till affären som sålde elektronik.
Banknämnden anser att de som obehörigen använt kortet har kommit underfund med pinkoden till kundens kort i samband med att kunden trodde att han gjorde en nio euros betalning med kortet och slog in sin pinkod i en betalterminal. Banknämnden finner det möjligt att betalterminalen som kunden slog in sin pinkod i inte var en riktig betalterminal eller inte var kopplad till kortsystemet utan i stället användes i brottsligt syfte för att vilseleda kunden och bemäktiga sig pinkoden till kundens kort.
Banknämnden anser att förövarna efter att pinkoden erhållits stal kundens kort utan att han märkte det och att de efter att obehörigen ha använt kortet lyckades returnera det till kunden utan att han upptäckte det.
Ansvaret för köptransaktionen
Enligt utredningen i ärendet användes kundens kort obehörigen första gången 4.12.2019 kl. 21.36 i den affär där kunden och hans maka befann sig. Kortet användes för en köptransaktion vars belopp var 890,00 euro. Med beaktande av den inlämnade utredningen som helhet anser Banknämnden att det är sannolikt att en ohederlig betalningsmottagare som var i maskopi med de personer som stal kundens kort var delaktig i den obehöriga användningen av kortet och att betalningsmottagaren alltså var medveten om att betalaren inte hade rätt att använda kortet.
Banknämnden konstaterar att även om det skulle anses att kortinnehavaren gått vårdslöst till väga ansvarar han enligt 62 § 3 mom. i betaltjänstlagen inte för obehörig användning av kortet, om det kan anses att betalningsmottagaren vid användningen av betalningsinstrumentet inte vederbörligen har försäkrat sig om betalarens rätt att använda instrumentet.
Eftersom affären och dess arbetstagare stod bakom den obehöriga användningen av kortet har betalningsmottagaren eller dess företrädare i detta fall i praktiken varit både betalningsmottagare och betalare som använt betalningsmedlet när det gällt de betalningstransaktioner som bestridits.
Banknämnden anser därför att betalningsmottagaren varit medveten om att betalaren inte hade rätt att använda kortet och att det därmed inte kan anses att betalningsmottagaren på det sätt som föreskrivs i 62 § 3 mom. i betaltjänstlagen vederbörligen har försäkrat sig om betalarens rätt att använda kortet.
Eftersom kunden med anledning av det sistnämnda i enlighet med 62 § 3 mom. i betaltjänstlagen inte svarar för obehörig användning av kortet, har Banknämnden för betalningstransaktionens del inte ansett det vara nödvändigt att bedöma kundens förfarande vad beträffar den aktsamhetsplikt som åläggs kortinnehavare i 53 § 1 mom. i betaltjänstlagen och i kortvillkoren.
Ansvaret för automatuttagen
Användning av pinkoden
Kunden har i fallet inte redogjort för på vilket sätt han skyddade inslagningen av pinkoden när han trodde sig betala 9 euro med kortet, och Banknämnden anser att det därför inte är möjligt att tillförlitligt bedöma huruvida kunden när han använde pinkoden iakttog den aktsamhet som förutsätts i kortvillkoren.
Banknämnden anser emellertid att eftersom kunden i detta fall föll offer för ett planmässigt brott där de medverkande arbetstagarna i affären och/eller kriminella som eventuellt samarbetade med dem också hade möjlighet att manipulera den betalterminal som erbjöds kunden skulle kunden inte nödvändigtvis ens genom att iaktta sådan aktsamhet som krävs i kortvillkoren ha kunnat undvika att utomstående fick kännedom om pinkoden. Därmed anser Banknämnden att den omständigheten att utomstående fick kännedom om pinkoden till kundens kort inte berodde på att kunden eventuellt varit vårdslös i fråga om användningen av kortets pinkod.
Förvaring av kortet och kontroll av att kortet är kvar
Kunden har inte redogjort för hur han förvarade kortet medan han var i affären när händelsen inträffade. Utifrån den utredning som lagts fram i ärendet har kunden ändå haft den uppfattningen att han hela tiden hade kortet i sin besittning.
Nämnden fäster i detta sammanhang uppmärksamhet vid att tiden mellan den obehöriga köptransaktionen och det sista automatuttaget var 15 minuter och att en utomstående därmed måste ha haft kundens kort i sin besittning i mer än 15 minuter. Vidare påpekar nämnden att kunden själv har berättat att händelserna i affären föreföll konstiga; därför anser nämnden också att kunden i den aktuella situationen borde ha ägnat särskild uppmärksamhet åt att förvara kortet säkert och kontrollera att det var kvar.
Utgående från den samlade utredningen i ärendet anser Banknämnden att kunden av vårdslöshet försummade sina i kortvillkoren angivna skyldigheter att förvara kortet och kontrollera att det var kvar. När man dock tar hänsyn till omständigheterna och till att kunden föll offer för ett brott som var uppenbart planmässigt anser nämnden att kundens vårdslöshet inte varit mer än lindrig.
Slutresultat
Banknämnden anser utgående från den utredning som erhållits i ärendet att betalningsmottagaren i samband med den betalningstransaktion som bestridits varit både betalningsmottagare och betalare som använt betalningsmedlet. Således kan det inte anses att betalningsmottagaren har försäkrat sig om betalarens rätt att använda kortet, och i enlighet med vad som föreskrivs i 62 § 3 mom. i betaltjänstlagen ansvarar kunden alltså inte för obehörig användning av kortet.
Vad beträffar de automatuttag som gjorts med kundens kort anser Banknämnden att den omständigheten att utomstående fick kännedom om kortets pinkod inte kan anses ha berott på att kunden förfarit vårdslöst beträffande säker användning av pinkoden. Vad beträffar förvaringen av kortet och kontrollen av att det är kvar anser Banknämnden att kundens förfarande var lindrigt vårdslöst. Således ska kundens ansvar för obehörig användning av kortet begränsas till 50 euro.
Med hänvisning till vad som sägs ovan rekommenderar Banknämnden att banken åtar sig att svara för den skada som den obehöriga användningen av kortet medfört, till den del den överstiger 50 euro.
Banknämnden var enhällig.
BANKNÄMNDEN
Ordförande Sillanpää
Sekreterare Hidén
Medlemmar:
Ahlroth
Atrila
Piilo
Pulkkinen