Verified by Visa

ARN 2015-09261 – Inte grovt oaktsamt vid internetköp.

Konsumenten råkade ut för obehöriga transaktioner med sitt kontokort. Köpen hade genomförts med konsumentens kortnummer och CVC-kod och hade också godkänts genom säkerhetslösningen Verified by Visa med konsumentens personliga lösenkod. Konsumenten nekade till att ha gjort köpen och menade att hans kort måste ha blivit kapat. Banken å sin sida menade att eftersom sannolikheten för att en bedragare skulle gissa sig till rätt lösenord är försvinnande liten så hade konsumenten antingen gjort köpen själv eller lämnat ut lösenordet eller i alla fall underlåtit att skydda det. Banken menade att det stred mot kontoavtalet och att det var grovt oaktsamt.

Det fanns ingenting i ärendet som tydde på att det var konsumenten själv som gjort köpen. Det fanns inte heller någonting som visade att konsumenten lämnat ut uppgifterna till någon annan frivilligt, t.ex. genom att svara på ett s.k. phishingmail. Allmänna reklamationsnämnden menade att även om systemen med Verified by Visa och MasterCard SecureCode kan anses vara säkra så betyder inte det att alla köp som görs med säkerhetskoden automatiskt är korrekta. Att ett köp har gjorts av någon obehörig innebär inte att konsumenten måste ha lämnat ut koden. Det kan i stället vara så att någon obehörig person kommit åt uppgifterna via en kapad hemsida eller genom trojanvirus i konsumentens dator.

Enligt förarbetena till lagen (2010:738) om obehöriga transaktioner är det banken som ska bevisa att konsumenten inte har skyddat sin kod och att konsumenten varit grovt oaktsam. Det är också banken som ska kunna visa att det inte varit några tekniska komplikationer när en transaktion genomförs. ARN menade att det är ett besvärligt bevisläge för bägge parter när konsumenten nekar till att ha gjort köp via nätet, det inte finns någon anledning att ifrågasätta hans eller hennes uppgifter och det inte går att redovisa vad som har hänt, antingen av säkerhetsskäl eller på grund av tekniska omständigheter. Vid sådana situationer är det enligt ARN rimligt att det är banken som får ta konsekvensen av det svåra bevisläget. ARN konstaterade att banken inte kunde visa att konsumenten varit grovt oaktsam och att banken inte heller hade bemött konsumentens påståenden om att hans uppgifter kunde ha blivit kapade. ARN rekommenderade att konsumenten inte skulle behöva betala 12 000 kronor till banken.