Innlent | Morgunblaðið | 24.11.2024 | 15:57 | Uppfært 18:37

Fórnarlömb netsvika fá ekki endurgreiðslu

Mynd úr safni. Mynd/Colourbox

Úrskurðarnefnd um viðskipti við fjármálafyrirtæki hefur hafnað kröfum tveggja einstaklinga, sem urðu fyrir netsvikum og samþykktu greiðslur til svikafyrirtækja, um að fá féð endurgreitt frá fjármálafyrirtækjunum sem inntu greiðslurnar af hendi.

Í öðru málinu fékk einstaklingur skilaboð í gegnum samskiptaforritið Messenger í nafni vinkonu hans en í ljós kom að óprúttinn aðili hafði komist inn á Facebook-reikning vinkonunnar skömmu áður. Upphaflega var óskað eftir símanúmeri og hann síðan í kjölfarið beðinn um að taka þátt í leik. Til að taka þátt var hann beðinn um ýmsar upplýsingar og meðal annars lét hann í té greiðslukortaupplýsingar.

Í kjölfarið bárust í síma hans smáskilaboð á ensku, þar sem sagt var að slá þyrfti inn öryggiskóða til að staðfesta kaup. Jafnframt voru upplýsingar um nafn seljanda og fjárhæð kaupanna og ábending um að ekki skyldi staðfesta kaupin ef upplýsingarnar væru ekki réttar. Í lok skilaboðanna var svo tilgreindur „SecureCode“ og upphæð kaupanna annars vegar í pólskum slotum og hins vegar í bandaríkjadölum.

Einstaklingurinn sló inn báða kóðana og voru tvær færslur gerðar á greiðslukort hans, annars vegar færsla að fjárhæð 5.999,88 pólsk slot til félagsins Allegro og hins vegar færsla að fjárhæð 1.060 dalir til félagsins Noor Shilan 2. Samtals námu greiðslurnar jafnvirði um 350 þúsund króna.

Sá sem fyrir svikunum varð sendi fjármálafyrirtækinu tilkynningu um óheimilaðar færslur og lét loka greiðslukortinu. Hann óskaði jafnframt eftir því að fyrirtækið sendi endurkröfubeiðni á greiðsluþjónustuveitanda seljanda þar sem um svikafærslur væri að ræða. Auk þess hefðu færslurnar ekki uppfyllt skilyrði laga um sterka sannvottun.

Fjármálafyrirtækið hafnaði því að greiðslurnar hefðu ekki uppfyllt skilyrði um sannvottun en féllst á að reyna endurkröfur á greiðsluþjónustuveitanda seljandans. Endurkröfubeiðnirnar reyndust árangurslausar og var greiðandanum tilkynnt í janúar 2023 að málinu væri lokið af hálfu fjármálafyrirtækisins. Kærandinn leitaði til Neytendasamtakanna sem beittu sér í málinu en fjármálafyrirtækið hafnaði enn greiðslu.

Málið var kært til úrskurðarnefndarinnar, sem segir í niðurstöðu sinni að SMS-öryggiskóði sem sendur er í síma greiðanda ásamt upplýsingum um fjárhæð og/eða viðtakanda greiðslu fullnægi skilyrðum um sterka sannvottun í skilningi gildandi laga. Var kröfunni því hafnað.

Í nafni Netflix

Í hinu málinu fékk einstaklingur tölvupóst í nafni streymisveitunnar Netflix sem hann var í viðskiptum við. Hann hafði átt í vandræðum með innskráningu dagana áður og þegar tölvupósturinn barst með kennimerki Netflix skrifað undir af „Netflix team“ þar sem óskað var eftir uppfærðum greiðsluupplýsingum en að öðrum kosti yrði áskriftinni lokað, taldi viðkomandi að skýring á vandkvæðum við innskráningu væri fundin.

Í kjölfarið ýtti hann á hlekk sem átti samkvæmt tölvupóstinum að smella á til að endurnýja aðild og fyllti út greiðsluupplýsingar í samræmi við beiðni í tölvupóstinum. Í kjölfarið bárust alls sex mismunandi SMS í farsíma einstaklingsins á ensku, þar sem sagt var að slá þyrfti inn öryggiskóða til að staðfesta kaup. Jafnframt voru upplýsingar um nafn seljandans, Revolut*Dublin, og fjárhæð kaupanna í evrum. Einstaklingurinn sagðist í ógáti hafa staðfest eina greiðslu af sex að fjárhæð 2.000 evrur, jafnvirði um 292 þúsund króna.

Greiðandinn óskaði eftir endurgreiðslu frá íslenska fjármálafyrirtækinu, sem innti greiðsluna af hendi, þar sem um svikafærslur væri að ræða. Því var hafnað og úrskurðarnefndin komst sömuleiðis að þeirri niðurstöðu að hafna skyldi kröfunni þar sem SMS-öryggiskóði sem sendur er í síma greiðanda ásamt upplýsingum um fjárhæð og/eða viðtakanda greiðslu fullnægði skilyrðum um sterka sannvottun.

Úrskurðirnir voru kveðnir upp undir lok síðasta árs en í kjölfarið óskuðu Neytendasamtökin álits Seðlabankans á því hvort SMS-öryggiskóði fullnægði áskilnaði Evróputilskipunar, og skilyrðum og leiðbeiningum evrópsku bankaeftirlitsstofnunarinnar, EBA, og laga um sterka sannvottun.

Taldi bankinn að túlka bæri ákvæði laga um greiðsluþjónustu á þá leið að öryggiskóði sem sendur er með SMS-skilaboðum í símtæki uppfyllti ekki skilyrði um sterka sannvottun þegar númer á greiðslukorti er notað til þess að framkvæma greiðslu.

Úrskurðarnefndin féllst á að taka bæði málin upp að nýju í ljósi þessa álits, en komst að þeirri niðurstöðu nú í ágúst að byggja yrði skýringu á sannvottun á gildandi lögum og reglum og hefðbundnum lögskýringargögnum og að ekki væri tilefni til að breyta fyrri niðurstöðu.