Stark kundautentisering
ARN 2020-21764 – Kortköp har inte godkänts säkert
En konsument (K) fick ett samtal från en person som uppgav att någon hade ansökt om ett lån i hennes namn. Strax därefter presenterade sig en annan person som påstod sig arbeta på hennes huvudbank och ville förhindra ett kortbedrägeri som banken upptäckt. K uppgav då sina kortuppgifter. Med hjälp av kortuppgifterna gjorde bedragarna ett köp med K:s kort. Köpet skulle bekräftas med en engångskod som skickades till hennes mobil. K menade att hon aldrig öppnade meddelandet och därmed inte heller lämnade ut engångskoden till bedragarna.
ARN konstaterade att utredningen i ärendet gav stöd för att K måste ha lämnat ut både kortuppgifter och engångskoden, som bedragaren därefter använde för att registrera och godkänna det reklamerade köpet. Eftersom K bestritt att hon lämnat ut sms-koden prövade ARN om sättet som kortköpet godkänts – genom användande av kortuppgifter samt engångskod via sms - uppfyller kraven på stark kundautentisering i enlighet med bestämmelserna i betaltjänstlagen.
Enligt betaltjänstlagen är kontohavaren inte ersättningsskyldig när stark kundautentisering inte har krävts i samband med att en elektronisk betalningstransaktion initierats och en obehörig transaktion ägt rum. Detta gäller under förutsättning att hen inte har agerat svikligt.
För stark kundautentisering krävs användning av två eller fler komponenter, kategoriserade som kunskap (något som bara användaren vet), innehav (något som användaren har) och unik egenskap (något som användaren är), som är fristående från varandra så att om någon kommer över en av komponenterna äventyrar det inte de andra komponenternas tillförlitlighet.
European Banking Authority (EBA) har uttalat att kortköp som utförs enbart med de tryckta uppgifter som framgår av kortet alternativt kortuppgifterna i kombination med till exempel en sms-kod inte uppfyller kraven på stark kundautentisering. Därmed konstaterade ARN att stark kundautentisering inte hade använts vid det obehöriga kortköpet. Ingenting i ärendet visade på att K hade agerat svikligt. Nämnden ansåg därför att banken, oavsett om K hade varit grovt oaktsam när hon lämnade ut sina uppgifter eller inte, ansvarade för den obehöriga transaktionen.
ARN rekommenderade att banken skulle ersätta K med hela beloppet.