2016-05-20

Beslut från ARN - obehöriga köp med Verified by Visa

Allmänna reklamationsnämnden (ARN) har prövat fyra ärenden om så kallade obehöriga transaktioner. Konsumenterna har upptäckt att någon gjort köp via internet med deras kortnummer och kod eller lösenord till säkerhetslösningen Verified by Visa. Konsumenterna själva nekar till de har lämnat ut uppgifterna och enligt ARN finns det heller något som tyder på att de har gjort det. Nämnden anser att banken inte lyckats visa att konsumenterna varit grovt oaktsamma och därför ska banken ersätta konsumenterna för de obehöriga köpen.

I takt med att vi handlar mer över internet har också antalet tvister som rör obehöriga transaktioner över internet ökat. Ibland har konsumenter blivit lurade av bedragare att lämna ut sina kortuppgifter, säkerhetskoder och lösenord, s.k. phishing, men i andra fall har de obehöriga transaktionerna genomförts utan att konsumenterna märkt någon form av manipulation. Bankerna har i de senare fallen menat att det inte kan finnas någon annan förklaring än att kortinnehavarna måste ha lämnat ut uppgifterna. ARN har tidigare gått på bankernas linje.

Banken har inte bevisat att de har rätt

I de fyra nya besluten konstaterar ARN att det är betaltjänstleverantören, alltså banken, som ska bevisa att kontohavaren har brutit mot sina förpliktelser om aktsamhet med kort och koder. Nämnden konstaterar att systemen med Verified by Visa och MasterCard SecureCode generellt är säkra men att det inte går att dra slutsatsen att kontohavaren inte har skyddat sin kod tillräckligt, eller har varit grovt oaktsam i lagens mening, enbart av den anledningen att en transaktion godkänts med koden till Verified by Visa eller MasterCard SecureCode.

Kunden kan ha fått sina koder kapade

ARN skriver i sitt beslut att det inte uteslutas att någon obehörig person kommit åt koden, exempelvis via en kapad hemsida som kontohavaren besökt eller att kontohavaren utan egen förskyllan fått ett så kallat trojanvirus eller någon annan fientlig kod i sin dator. En obehörig person har därefter kunnat läsa av lösenord med mera. Risken är enligt nämnden större i de fall där kontohavaren ska använda en egenvald, statisk kod för att bekräfta sitt internetköp än om koden ges dynamiskt.

- Det är positivt att ARN uppmärksammar svårigheten för konsumenterna att bevisa att de INTE har lämnat ut kortuppgifter och säkerhetskoder, säger Cecilia Blomqvist, jurist på Konsumenternas Bank- och finansbyrå. Det är rimligt, som nämnden skriver i besluten, att det är banken som får ta konsekvensen av de svåra bevislägen där det inte finns någon anledning att ifrågasätta kundernas uppgifter men det inte går att redovisa vad som har hänt.

Läs mer om obehöriga transaktioner.

Läs mer om beslutet.

Informationsansvarig
Konsumenternas Bank- och finansbyrå