Regulering af betalingsformer på internettet Regulering af betalingsformer på internettet af advokat Martin von Haller Grønbæk, mhg@vonhaller.dk og advokatfuldmægtig Pernille Borup Pedersen, pbp@vonhaller.dk, advokatfirmaet von Haller 1. Indledning Muligheden for at kunne foretage betaling i forbindelse med et køb via internet er i mange tilfælde en afgørende forudsætning for internet-handel overhovedet. Betalingsmåder ved internet-handel er lige så forskellige og lige så mange som ved handel i den analoge verden. Herudover er der i forbindelse med internet-handel udviklet særlige elektroniske betalingsformer. Køb mod betaling ved fremsendelse af faktura eventuelt med girokort Generelt anses de betalingsformer, der set fra sælgerens synsvinkel er at sidestille med kontantbetaling, som den mest attraktive betalingsform, da sælgeren ikke skal indkalkulere risikoen for køberens efterfølgende manglende betalingsvillighed og betalingsevne. Køb mod betaling ved fremsendelse af faktura eventuelt med girokort anses derfor normalt ikke som et fornuftigt alternativ til kontantbetaling. Ikke praktisk anvendelig betalingsmåde Betaling pr. efterkrav anses normalt heller ikke for at være en praktisk anvendelig betalingsmåde. Godt nok sørger postvæsenet for, at varen ikke udleveres før betaling er sket. Imidlertid er omkostningerne ved at betale per efterkrav relativt for høje, ligesom disse omkostninger samt øvrige forsendelsesomkostninger ofte vil belaste sælgeren i sidste ende, hvis køberen ikke modtager og således betaler den fremsendte vare. 5/September 2003 Internethåndbogen 1
Regulering af betalingsformer på internettet Betaling med betalingskort, konto-til-konto, mikrobetaling, og mobilbetaling Betalingskort De mest interessante former for betaling i forbindelse med internet-handel er i øjeblikket betaling med betalingskort, konto-til-konto mikrobetaling, og mobilbetaling, Den på nuværende tidspunkt klart mest anvendte form for betaling på internet er betaling med betalingskort. Så godt som alle betalinger på internet i dag foretages med betalingskort. Langt størstedelen af de danske internetbetalinger foretages med Dankort og Visa/Dankort, som tegner sig for 1.742.112 betalingstransaktioner i 2. kvartal 2003. I samme kvartal er der til sammenligning foretaget 124.516 betalinger med internationale betalingskort som Visa, Mastercard, og Eurocard. 1 Denne betalingsform er attraktiv af flere grunde. For det første fordi sælgeren i realiteten stilles, som om han har modtaget købesummen kontant. For det andet fordi der er tale om en international udbredt og anerkendt betalingsform. SSL-standard Betaling med betalingskort på internet i dag sker ved anvendelse af den såkaldte SSL-standard. Dette medfører, at kortindehaveren afgiver oplysninger om navnet på kortet, kortnummeret og udløbsdato direkte i browseren, uden at det er nødvendigt at installere andet software på den lokale PC. Disse informationer sendes herefter krypteret til den server, hvor internet-butikkens betalingsmodul befinder sig på. Herfra cleares kortet med kortudstederen normalt via lukket netværk. Ved denne fremgangsmåde gives der som udgangspunkt ikke sikkerhed for, at oplysningerne gives af den rigtige kortindehaver, og at de modtages af den internet-butik, som websitet giver udtryk for. På trods heraf har denne betalingsmåde ikke vist sig at medføre et misbrug på køberside eller bedrageri på sælgerside, der er proportionalt større end ved anvendelse af betalingskort i den analoge verden. Kontrolciffer For at øge sikkerheden mod misbrug yderligere stillede PBS imidlertid fra den 1. april 2002 krav om, at der ved betaling med betalingskort via SSL skal benyttes et såkaldt kontrolciffer. Da dette ciffer ikke er præget ind i kortet risikerer 1) PBS status på internethandel, 3. juli 2003, http://www.pbs.dk/nyheder/nyheder/betalinger.htm 2 Internethåndbogen 5/September 2003
Regulering af betalingsformer på internettet kortholdere ikke at efterlade et fysisk aftryk på en bon eller lignende, og det sikres således, at betalinger alene kan gennemføres når kortet er fysisk til stede. Alle betalingskort vil fremover være udstyret med et sådant kontrolciffer også de internationale kort. Indtil alle kort er skiftet ud og forsynet med et kontrolciffer gælder, at hvis man handler med et kort, der har kontrolciffer, skal dette oplyses for, at betalingen kan gennemføres, mens kort uden kontrolciffer fortsat kan anvendes ved at oplyse navn, kortnummer og udløbsdato. SET-standard Visa og Mastercard og i Danmark PBS har udviklet et alternativ til SSL-standarden, den såkaldte SET-standard. Denne standard medfører mere sikre betalinger end i forbindelse med SSL-standarden ikke på grund af krypteringsdelen, men fordi SET-standarden inkorporerer anvendelsen af digitale signaturer, således at der opnås sikkerhed for kortindehaverens og internet-butikkens identitet i forbindelse med betalingstransaktionen. SET-standarden er hverken på nordisk eller internationalt plan udbredt på nuværende tidspunkt. Antallet af betalingstransaktioner ved anvendelse af betalingskort er fortsat i dag og må forventes også et godt stykke ud i fremtiden umådeligt lille i forhold til betalingstransaktioner baseret på SSL-standarden. En af årsagerne hertil er formentlig at løsningen kræver, at både kortindehaver og betalingsmodtager installerer det specielle SET software på deres pc. Konto-til-konto Danske Bank har udviklet et betalingssystem, der kan integreres direkte med butikkens betalingsside ved et link til Danske Bank. Betalingen sker direkte mellem betalerens og betalingsmodtagerens konto i Danske Bank ved en kontotil-konto overførsel. Betaleren bekræfter transaktionen med sit aftalenummer og kodeord fra Danske Netbank. Betalerens kontonummer bliver ikke videresendt til betalingsmodtager, men er alene en oplysning Danske Netbank er i besiddelse af. Risikoen for opsnapning af informationer under transaktionen med efterfølgende misbrug er således minimeret. For at kunne anvende Danske Netbetaling skal betaleren være privatkunde i Danske Bank med en Danske Netbankaftale og en konto med debiteringsret (fuldmagtskonti kan ikke anvendes). Desuden skal betalingsmodtageren være erhvervskunde i Danske Bank med en Danske Bank TeleService-aftale. Desuden skal butikken tilsluttes Danske Netbe- 5/September 2003 Internethåndbogen 3
Regulering af betalingsformer på internettet taling ved en separat tilslutning. Der er i sommeren 2003 tilmeldt ca. 100 butikker. Mikrobetaling Mikrobetaling, dvs. betaling af småbeløb på internet, har længe været teknisk muligt, men udbredelsen lader fortsat vente på sig. Mikrobetalinger er udviklet som et alternativ til betaling med kort på internet. De beløb, der indtil videre kan indbetales på de eksisterende mikrobetalingskonti, bevirker at mikrobetalinger ikke på kort sigt vil fortrænge betalingskortene. Desuden rummer denne betalingsform væsentlige fordele for brugerne, da det ikke vil være muligt at misbruge andet end det beløb, der er til rådighed på kontoen. Svarende til tyveri af en almindelig pengepung i den analoge verden. Der findes flere forskellige systemer i Danmark i dag, blandt andet CoinClick (ejes af TDC og et konsortium af danske banker), Valus (drives af Foreningen af Danske internet Medier) og ewire (ejes af blandt andet den svenske Skandiabanken). En udfordring for udbredelsen af mikrobetaling er, at de mange forskellige spillere på markedet gør det svært at udbrede ét system brugerne bliver forvirret over de mange forskellige tilbud. Et andet problem er, at mange af de større udbydere af internetservices laver deres egne betalingssystemer frem for at anvende mikrobetalingstjenesterne. Den Blå Avis har således med stor succes haft sin egen mikrobetalingsløsning i flere år, der anvendes når kunderne køber adgang til avisens rubrikannoncer på internet. Kunderne opretter en konto via Den Blå Avis hjemmeside, og hver gang kunden bekræfter at denne ønsker at åbne en rubrikannonce, bliver kontoen debiteret. Mobilbetaling SIM-kortet i en mobiltelefon kan, såvel som andre chipkort, anvendes til betalinger, og er et velegnet supplement på sigt måske endda erstatning for betalingskortet, da udbredelsen af mobiltelefoner efterhånden er meget stor. Mobiltelefonens SIM-kort kan anvendes som et betalingskort, og dette har teleselskabet Orange udnyttet i deres Mobil Betaling service, som er udviklet i samarbejde med PBS. Oranges kunder har mulighed for at købe taletid samt bestille og betale indkøb med deres Dankort, Visa/Dankort, Mastercard eller Eurocard via internet, mobiltelefon (WAP), pc på forretningens website og ved almindeligt telefonsalg. 4 Internethåndbogen 5/September 2003
Regulering af betalingsformer på internettet I praksis vil mobiltelefonens nummer erstatte kortnumre og udløbsdato ved betaling. Den eksisterende infrastruktur for indløsning af kort bibeholdes, og SIM applikationerne vil blive administreret som for andre chipkort. Mobiltelefonen kommer herved til at fungere som kundernes egen betalingsterminal. 2 Oranges Mobil Betaling giver dog p.t. kunden en ekstra kode at huske, idet Orange tildeler kunden en særskilt pinkode, der skal anvendes ved handel. En anden måde at bruge mobiltelefonen til betaling af ydelser er overtakserede SMS-beskeder, og de største teleselskaber på det danske marked har indgået en aftale om indholdstaksering via SMS for blandt andet at sikre at ydelserne er de samme for forbrugerne uanset hvilket telefonselskab de benytter. Køb og betaling via overtakserede SMS-beskeder foregår ved, at kunden ser en ydelse i en annonce, for eksempel på internettet. I annoncen er oplyst, hvilket nummer der skal sendes en SMS til, og hvilken kode der skal angives i SMSbeskeden. Når SMS-beskeden er modtaget sendes ydelsen, for eksempel et billede til telefonens display, til kunden, og beløbet takseres på kundens telefonregning. Mobiltelefonen anvendes endvidere i forbindelse med betaling af for eksempel parkeringsafgift. Selskabet Easypark har indgået samarbejde med Århus Kommune, Parkering København, EuroPark og Frederiksberg Kommune. Easypark fungerer ved at brugeren finder sin p-plads, ringer til Easypark og indtaster en kode, samt oplysninger om hvor der parkeres og hvor længe. Afregningen foretages en gang om måneden ved træk på det af brugeren tilmeldte kreditkort (Dankort, Diners, Visa, EuroCard, Mastercard etc.) eller via brugerens Easypark konto (forudbetalt konto hvor brugeren indsætter minimum 200 kr.) 2. Beskyttelseshensyn Tillid til systemet Formålet med at regulere betalingsformer på internettet kan være mange. Nok det afgørende formål er at sikre tillid til systemet, således at ikke kun de personer, der skal foretage 2) Konkurrenceforholdene på betalingskortmarkedet 2002, Konkurrencestyrelsen, April 2002, kap. 6, p. 13. 5/September 2003 Internethåndbogen 5
Regulering af betalingsformer på internettet betaling med et betalingsmiddel, men også betalingsmodtagerne føler sig sikre ved systemet. Afgørende er, at reglerne beskytter brugernes interesser. Grundliggende set vil dette ske på to forskellige måder afhængig af, hvilken type betalingssystem der er tale om. I forbindelse med handel på internettet kan der ligesom i den analoge verden sondres mellem to former for betalinger: 1. de såkaldte access-systemer og 2. digitale mønter eller elektroniske kontanter (jf. ovenfor under mikrobetalinger). Access systemer Betalingsmodtageren kan være sikker på, at retten til at få udbetalt et beløb hos tredjemand også har en reel værdi Intet misbrug Ved access-systemer forstås betaling, hvor værdien ikke direkte overføres fra betaler til betalingsmodtager, men at betalingsmodtageren modtager en ret til at få overført et beløb fra tredjemand. Betalingskort er således at anse som et access system, ligesom anvendelsen af checks er. Det er i princippet uden betydning, hvorvidt der trækkes fra en konto hos tredjemand med et beløb indestående, eller om der til kontoen er tilknyttet en kreditfacilitet. Ved access-systemer er der to forhold, der sikrer tilliden til systemet. For det første er det naturligvis af stor betydning, at betalingsmodtageren kan være sikker på, at retten til at få udbetalt et beløb hos tredjemand også har en reel værdi. Dette sikres ved, at tredjemand er økonomisk solid. Lovgivning omhandlende banker og finansielle institutter sikrer økonomisk soliditet og tilsyn fra det offentlige med udstedere af f.eks. betalingskort. Set fra betalerens synsvinkel er det afgørende, at systemet ikke kan misbruges af uberettigede, således at betaleren f.eks. en kortindehaver forpligtes til at honorere betalingsmodtagerens krav. Kortindehaverens tillid til systemet fordrer således, at der findes regler, der begrænser hans risiko for uvedkommendes misbrug af betalingskortet. Disse regler findes dels i aftalen med kortudstederen, dels i betalingsmiddelloven og de retningslinier, der er udstedt i medfør heraf. Digitale mønter Ved anvendelse af digitale mønter, som de tidligere nævnte eksempler under Mikrobetaling, er tillid til systemet også af stor betydning. Digitale mønter kan i vidt omfang sammenlignes med rede penge eller kontanter i den analog verden. Ved anvendelse af ægte digitale mønter overføres værdier direkte fra den oprindelige indehaver af mønterne til betalingsmodtageren. Når en køber betaler med digitale mønter på et smartcard som f.eks. Mondex overføres der digitale 6 Internethåndbogen 5/September 2003
Regulering af betalingsformer på internettet mønter i form af krypterede datastrenge fra køberens smartcard til sælgerens eller via internet. I dette tilfælde er tredjemands mellemkomst ikke nødvendig, sådan som det er tilfældet i forbindelse med accesssystemer. Dog er grænsen mellem access-systemer og digitale mønter på dette punkt ofte flydende, idet der ved visse digitale mønter kræves tredjemands online validering af den digitale mønt, når betalingsmodtageren har fået denne i besiddelse for at sikre, at denne ikke tidligere er blevet anvendt. Digitale mønter kan også sammenlignes med rede penge i den analoge verden, når det drejer sig om de beskyttelseshensyn, som lovgivningen bør tilgodese. De fleste mennesker må ved fremtidens anvendelse af digitale mønter forventes ligesom i den analoge verden ikke at være i besiddelse af et forfærdeligt stort beløb i digitale mønter. Typisk vil man på sit chipkort eller på sin harddisk have et beløb svarende til det, som man i dag har placeret i sin analoge pung. Hvis de digitale mønter stjæles og misbruges, er ens risiko således minimeret til det relativt lille beløb, som man måtte have liggende i ens elektroniske pung. Da risikoen således ikke er knyttet til ens indestående eller kreditfacilitet hos tredjemand, er misbrugsbegrænsningen i f.eks. betalingsmiddelloven, der også finder anvendelse ved digitale mønter, ikke så væsentlige for brugerens tillid til digitale mønter som betalingssystem. Regulering af udstedere af elektroniske penge Ligesom i den analoge verden er det imidlertid afgørende for brugernes tillid til systemet, at de digitale mønter også har den værdi, som de giver sig ud for. Denne værdi er helt og holdent knyttet til, hvem der har pligten til i sidste ende at indløse de digitale mønter. Kontanter i den analog verden er understøttet af den stat, hvis nationalbank har udstedt mønterne. Da digitale mønter kan udstedes af private virksomheder, er deres værdi knyttet til disse udstedende virksomheders økonomiske soliditet. I Danmark reguleres udstedere af digitale penge af lov nr. 453 af 10. juni 2003 om finansiel virksomhed. Udstedere af elektroniske penge er efter lovens 308, stk 3, sammen med pengeinstitutter eneberettigede til at udøve virksomhed i form af udstedelse af elektroniske penge. Ved udstedere af elektroniske penge forstås foretagender, der udsteder betalingsmidler i form af elektroniske penge. 5/September 2003 Internethåndbogen 7
Regulering af betalingsformer på internettet Det følger af lovens 308, stk. 1, 2. pkt., at elektroniske penge er: en pengeværdi, som repræsenteret ved et krav på udstederen, der er lagret på et elektronisk medium. Ifølge lovens 309 må der ikke udstedes elektroniske penge med en højere værdi end 300 EUR. Loven finder ikke anvendelse på udstedere af elektroniske penge, såfremt der maksimalt kan lagres 75 EUR på det elektroniske medium, 308, stk. 5. Dog skal én af følgende betingelser samtidig være opfyldt: 1. udstederens samlede finansielle forpligtelser i forbindelse med uindfriede elektroniske pengebeløb overstiger ikke 150.000 EUR, 2. de elektroniske penge, der udstedes af udstederen, anerkendes kun som betalingsmiddel af koncernforbundne selskaber, eller 3. de elektroniske penge, der udstedes af udstederen, anerkendes kun som betalingsmiddel af et begrænset antal selskaber, der klart kan identificeres ved deres beliggenhed på samme lokalitet eller andet begrænset lokalt område, eller ved deres tætte finansielle eller forretningsmæssige forbindelse til udstederen. Selv om udstedere af elektroniske penge ikke er omfattet af loven skal de årligt redegøre for deres aktiviteter, og herunder oplyse om størrelsen af de samlede finansielle forpligtelser i forbindelse med uindfriede elektroniske pengebeløb. Udstederens soliditet sikres ved at der stilles krav om at udstedere af elektroniske penge skal være aktieselskaber med en aktiekapital på minimum 1 mio. EUR. Dertil kommer at basiskapitalen for en udsteder af elektroniske penge til enhver tid skal udgøre mindst 2% af det højeste af følgende beløb: Den aktuelle værdi eller de foregående 6 måneders gennemsnit af de samlede finansielle forpligtelser i forbindelse med uindfriede elektroniske pengebeløb, jf. 317, stk. 1. Herudover stilles en række krav til udstedere af elektroniske penge for så vidt angår ejerforhold, ledelse, solvens, midlernes anbringelse samt regnskab og revision. 8 Internethåndbogen 5/September 2003
Regulering af betalingsformer på internettet 3. Lov om betalingskort Betalingsmiddelloven Danmark har siden 1984 haft en lov om betalingskort, hvis hovedformål har været at varetage forbrugernes interesser i at sikre overskuelighed, frivillighed og beskyttelse mod misbrug. Baggrunden for den første lov var pengeinstitutternes planer om etablering af Dankortsystemet, og siden 1990 erne har der jævnligt været foretaget ændringer som følge af den teknologiske udvikling. Ved lov nr. 414 af 31. maj 2000 om visse betalingsmidler, Betalingsmiddelloven, blev Betalingskortloven erstattet. Til forskel fra Betalingskortloven, der i vid udstrækning var baseret på en sondring mellem betalingssystemer med betalingskort og betalingssystemer uden betalingskort men med kode el.lign., indeholder Betalingsmiddelloven en generel regulering for samtlige betalingsmidler, der er omfattet af loven. Til gengæld sondrer Betalingsmiddelloven mellem forudbetalte betalingsmidler og andre betalingsmidler. Årsagen hertil er, at der typisk ikke er de samme beskyttelseshensyn ved forudbetalte betalingsmidler som ved andre betalingsmidler. Betalingsmiddel Loven finder i henhold til 1, stk. 2, anvendelse på følgende betalingsmidler: 1. Hævekort og betalingskort, som er knyttet til bestemte brugere. 2. Andre fysiske legitimationsmidler, som er knyttet til bestemte brugere, og som er beregnet til elektronisk aflæsning (for eksempel de såkaldte Brobizz, der anvendes ved broanlæg). 3. Koder og biometriske værdier, som er beregnet til at legitimere brugeren (for eksempel internet-banker og internet-butikker, hvor brugeren for at anvende systemet legitimerer sig overfor ved hjælp af en kode el. lign., og derefter debiteres for brugen af den pågældende ydelse). 4. Elektronisk registrerede fordringer, som udsteder er forpligtet til at indfri på brugers anmodning (for eksempel forudbetalte kort eller elektroniske fordringer lagret på en computer. Traditionelle klippekort er undtaget, da fordringen skal være registreret elektronisk). For at være omfattet af loven skal ovennævnte betalingsmidler kunne anvendes til at erhverve varer eller tjeneste- 5/September 2003 Internethåndbogen 9
Regulering af betalingsformer på internettet ydelser med, foranledige overførsel af beløb, hæve penge eller foretage andre betalingstransaktioner. Som nævnt i forgående afsnit findes der særlige regler for forudbetalte betalingsmidler. Herved forstås de i punkt 1-4 nævnte betalingsmidler, der samtidig er elektroniske penge, jf. 308, stk. 1 i lov om finansiel virksomhed, eller som brugeren kun kan anvende, i det omfang der forud for anvendelse af betalingsmidler er sket indbetaling af midler, som ikke er registreret på en konto, der tilhører brugeren, eller hvor brugeren vederlagsfrit har modtaget en sådan værdi eller har fået forhøjet betalingsmidlets værdi. Generalklausul og tilsyn Som tidligere regulering af betalingskort indeholder Betalingsmiddelloven en generalklausul, 4, hvorefter betalingssystemer skal indrettes således, at der sikres brugerne gennemsigtighed, frivillighed, beskyttelse mod misbrug samt fortrolighed om brugernes anvendelse af betalingsmidlet. Generalklausulen tager primært sigte på de erhvervsdrivende, der udsteder og indløser betalingsmidler, idet den fastlægger nogle generelle principper for indretning og drift af betalingssystemer, herunder krav om at der løbende skal træffes de juridiske, organisatoriske, driftsmæssige, tekniske og sikkerhedsmæssige foranstaltninger, som er nødvendige for, at der er tale om et sikkert og velfungerende betalingssystem. Årsagen til at loven er holdt i generelle vendinger er, at kravene således kan ændres i takt med den teknologiske, lovgivningsmæssige og samfundsmæssige udvikling på en smidig måde. Anmeldelse, informationsmateriale, kvittering og opsigelse Det er Forbrugerombudsmanden, der fører tilsyn med indretningen af de omfattede betalingssystemer, og generalklausulens sekundære sigte er at præcisere, hvad Forbrugerombudsmanden skal lægge vægt på i sit tilsyn. Såfremt Forbrugerombudsmanden finder at et system ikke lever op til de krav, der følger af generalklausulen, skal forholdene søges ændret gennem forhandling. Fører dette ikke til det ønskede resultat, kan Forbrugerombudsmanden dog udstede påbud om ændring af forholdene, jf. 18, stk. 3. Undladelse af at efterkomme et sådant påbud er strafsanktioneret, jf. 22, stk. 1, nr. 2. Kravet om anmeldelse af udstedere er videreført fra Betalingskortloven, og alle udstedere af betalingsmidler skal således anmeldes til Forbrugerombudsmanden, før betalingsmidler må udstedes. 10 Internethåndbogen 5/September 2003
Regulering af betalingsformer på internettet Udover oplysninger om udsteders navn, forretningssted og selskabsform, skal anmeldelsen indeholde det informationsmateriale, som udstederen i medfør af lovens 7 skal stille til rådighed for brugeren. Såfremt der senere foretages ændringer i informationsmaterialet, skal disse anmeldes til Forbrugerombudsmanden inden 8 dage efter, at ændringen er sket. Det i 7 omhandlede informationsmateriale skal i letforståelige vendinger sætte brugeren i stand til at anvende betalingsmidlet på betryggende og hensigtsmæssig vis, samt informere om eventuelle omkostninger ved anvendelse af betalingsmidlet, for eksempel oprettelsesgebyrer. Herudover skal informationsmaterialet lægge vægt på de sikkerhedsmæssige krav, som brugeren skal efterleve, samt oplyse om det ansvar brugeren kan ifalde ved tredjemands misbrug af betalingsmidlet. Overskuelighed og gennemsigtighed 7 udgør en (ikke udtømmende) præcisering af lovens princip om, at brugerne skal sikres overskuelighed og gennemsigtighed, jf. generalklausulen i 4, hvilket følges op af 8, der bestemmer, at brugeren har krav på en kvittering ved enhver betalingstransaktion. Dette krav kan dog fraviges, hvis brugeren på anden vis har let adgang til oplysninger om, hvorvidt og hvornår den pågældende transaktion er gennemført, hvilket for eksempel kan ske ved at brugeren modtager en e-mail eller har mulighed for at kontrollere gennemførte transaktioner via udstederens hjemmeside. Essensen af 8 er, at brugerne skal have mulighed for at kontrollere, at der ikke sker fejlregistreringer eller misbrug. Bestemmelsen sikrer tillige, at brugeren har mulighed for at holde øje med sit forbrug. Ikke-forudbetalte betalingsmidler For så vidt angår de ikke-forudbetalte betalingsmidler, kan brugeren til hver en tid opsige aftalen med udsteder om tilslutning til betalingssystemet uden varsel. For de forudbetalte betalingsmidler gælder, at brugeren kan opsige aftalen efter gyldighedsperiodens udløb. Eventuel restværdi på et forudbetalt betalingsmiddel skal udbetales til brugeren såfremt denne fremsætter krav herom inden 1 år efter udløb. Udstederen kan kræve et gebyr for refusionen, der under hensyn til omkostningerne ved refusionen og omstændighederne i øvrigt er rimeligt. Såfremt det forudbetalte betalingsmiddel er omfattet af bestemmelserne om udstedere af elektroniske penge, kan udstederen bestemme, at beløb under DKK 25,00 ikke kan genindløses, jf. 311, stk. 2, i lov om finansiel virksomhed. 5/September 2003 Internethåndbogen 11
Regulering af betalingsformer på internettet Hæftelses- og ansvarsregler Betalingsmiddellovens 11 indeholder regler om tabsfordelingen mellem udstederen og brugeren i tilfælde af misbrug af betalingsmidlet. Reglerne er i vid udstrækning en videreførelse af ansvarsbestemmelserne i Betalingskortloven, men i stedet for sondringen mellem misbrug af betalingskort og misbrug af betalingssystemer uden kort, men med kode, indeholder 11 fælles regler om tabsfordelingen for alle de betalingsmidler, der er omfattet af loven. Dog er forudbetalte betalingsmidler ikke omfattet, hvis værdi ikke kan overstige 3.000 kr., eller hvis de ikke kan genoplades automatisk. 11 finder anvendelse på misbrug der finder sted, såvel når betalingsmidlet (evt. med tilhørende PIN-kode) har været anvendt fysisk, som når det har været anvendt ved at kortnummer og udløbsdato har været opgivet til betalingsmodtager, for eksempel via internettet. Bestemmelsen regulerer ligeledes det misbrug der finder sted, hvis betalingsmodtager hæver et større beløb, end det brugeren har autoriseret. Udsteder hæfter som udgangspunkt for brugerens tab Hovedreglen er, at udsteder hæfter for brugerens tab såfremt betalingsmidlet har været uberettiget anvendt af tredje mand. Denne hovedregel er modificeret af undtagelserne i stk. 2-6, der angiver 3 forskellige niveauer af hæftelse for brugeren i tilfælde af misbrug, hvor denne har optrådt mere eller mindre uagtsomt: En selvrisiko på op til 1.200 kr., 11, stk. 2 Hæftelse for op til 8.000 kr., 11, stk. 3 og 4 Ubegrænset hæftelse, 11, stk. 6 Brugerens selvrisiko 1.200 kr. Hæftelse op til 8.000 kr. Brugeren hæfter med op til 1.200 kr., hvis tredjemand ved hjælp af den til betalingsmidlet hørende personlige, hemmelige kode har anvendt betalingsmidlet uberettiget. Denne bestemmelse er ikke betinget af at brugeren har handlet uagtsomt, hvorfor den kan betragtes som en form for selvrisiko. Efter denne bestemmelse vil brugeren selv bære det fulde ansvar, hvis en person køber en bog til 300 kr. ved hjælp af brugerens betalingsmiddel samt kode. Såfremt betalingsmidlet med kode anvendes til køb af en pc til 15.000 kr., hæfter brugeren kun med selvrisikoen, de 1.200 kr., med mindre videregående hæftelse følger af 11, stk. 3 eller 6. 11, stk. 3 og 4, bestemmer at brugeren hæfter med op til 8.000 kr. Der sondres mellem misbrug, der finder sted ved 12 Internethåndbogen 5/September 2003
Regulering af betalingsformer på internettet anvendelse af den personlige, hemmelige kode og misbrug, der finder sted ved anvendelse af falsk underskrift. Såfremt misbrug finder sted ved anvendelse af såvel kode som underskrift overstiger brugerens hæftelse dog ikke 8.000 kr. Såfremt misbrug af betalingsmidlet finder sted ved anvendelse af den personlige, hemmelige kode, hæfter brugeren efter stk. 3 med op til 8.000 kr. hvis denne: 1. har undladt at underrette udsteder snarest muligt efter at have fået kendskab til, at koden er kommet til den uberettigedes kendskab, 2. har oplyst koden til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 6, eller 3. ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. Såfremt misbrug af betalingsmidlet finder sted ved anvendelse af falsk underskrift, hæfter brugeren efter stk. 4 med op til 8.000 kr. hvis udsteder godtgør, at: 1. brugeren eller nogen, som brugeren har overladt betalingsmidlet til, har undladt at underrette udsteder snarest muligt efter at have fået kendskab til, at betalingsmidlet er bortkommet, eller 2. brugeren eller nogen, som brugeren har overladt betalingsmidlet til, ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. Ubegrænset hæftelse Udstederen hæfter Brugeren hæfter fuldt ud, såfremt udstederen godtgør, at misbruget er sket ved anvendelse af den til betalingsmidlet hørende, personlige kode. En betingelse for den ubegrænsede hæftelse er, at brugeren har oplyst koden til misbrugeren, dvs. hensigten er at regulere de tilfælde, hvor brugeren frivilligt og forsætligt har oplyst koden til misbrugeren. Hæftelsen andrager maksimalt indeståendet på den til betalingsmidlet knyttede konto med tillæg af ikke-udnyttede kreditter, eller periodebeløbet 3. Såfremt uberettiget anvendelse finder sted efter, at udsteder har fået underretning om, at betalingsmidlet er bortkommet, at en uberettiget person har fået kendskab til koden, 3) Periodebeløbet er det beløb, der i henhold til brugerens aftlae med udstederen maksimalt kan hæves på betalingsmidlet pr. dag, pr. uge el.lign. 5/September 2003 Internethåndbogen 13
Regulering af betalingsformer på internettet eller at brugeren af andre grunde ønsker betalingsmidlet spærret, hæfter udstederen, jf. 11, stk. 7. Udsteder hæfter endvidere såfremt betalingsmodtager vidste eller burde have vidst, at betalingsmidlet blev anvendt uberettiget, 11, stk. 8. Hvis brugeren lider tab som følge af fejlregistrering eller konteringsfejl hæfter udstederen også selv om fejlen er hændelig, jf. 12, stk. 1. Overfor betalingsmodtagers tab er indløser ansvarlig i samme situationer, jf. 12, stk. 3. Bevisbyrden Registerregler Såfremt brugeren ikke kan vedkende sig en transaktion, der er debiteret brugerens betalingsmiddel/konto, har udstederen bevisbyrden, hvilket betyder, at udstederen skal bevise at debiteringen ikke beror på en konteringsfejl el.lign, jf. 12, stk. 5. Hvis udstederen løfter denne bevisbyrde er det op til brugeren at bevise, at der har fundet et misbrug sted, hvilket i så fald vil medføre at ansvars- og tabsbegrænsningsreglerne i 11 finder anvendelse. I praksis kan brugeren ofte løfte denne bevisbyrde ved at underskrive en såkaldt troog loveerklæring, hvorved brugeren erklærer ikke at have foretaget en given transaktion eller bemyndiget andre hertil. Det følger af 13, at lov om behandling af personoplysninger 4 også gælder for den behandling af persondata, der finder sted i forbindelse med brug af betalingsmidler. Et par ændringer hertil findes i 13, stk. 2-5. Brugerens CPR-nummer kan fremgå af et betalingsmiddel under forudsætning af, at udstederen sørger for, at CPRnummeret ikke kan læses af andre end udstederen (hverken fysisk eller elektronisk), jf. 13, stk. 2. Ifølge 13, stk. 3, må behandling af oplysninger om, hvor brugerne har anvendt deres betalingsmidler, og hvad de har købt, kun ske når det: 1. er nødvendigt til gennemførelse eller korrektion af betalingstransaktioner eller andre funktioner, som udstederen har knyttet til betalingsmidlet, 2. et nødvendigt til retshåndhævelse eller for at hindre misbrug, eller 3. er hjemlet ved anden lovgivning. 4) Lov nr. 429 af 31. maj 2000 som ændret ved lov nr. 280 af 25. april 2001 14 Internethåndbogen 5/September 2003
Regulering af betalingsformer på internettet Herudover må der ifølge 13, stk. 4, ske behandling af oplysninger om, hvor brugerne har anvendt deres betalingsmidler, når: 1. det er nødvendigt for udstederens rådgivning af en bruger med henblik på en hensigtsmæssig anvendelse af betalingsmidler, og når de oplysninger, der frembringes, alene angår, hvilke typer betalingstransaktioner brugeren foretager, eller 2. behandlingen er nødvendig for udstederens tilpasning af betalingssystemer, således at disse er sikre, effektive og tidssvarende, og der ikke frembringes oplysninger på enkeltbrugerniveau. Formålet med bestemmelserne i 13, stk. 3 og 4, er at sikre, at oplysninger om betalingsmidlets anvendelse ikke benyttes til uvedkommende formål eller i integritetskrænkende øjemed til for eksempel at udlede forbrugsmønstre for en bruger eller gruppe af brugere. 4. Retningslinier vedrørende fjernsalg med videre i betalingssystemer med betalingskort SSL-baserede systemer Forbrugerombudsmanden udstedte i december 1996 retningslinier om kortindehavers rettigheder i forbindelse med fjernsalg, der betales med betalingskort i forbindelse med de gængse SSL-baserede systemer. Retningslinierne er kommet i stand efter forhandlinger mellem Forbrugerombudsmanden og blandt andet PBS, Finansrådet, Dansk Handel & Service, Diners Club Denmark A/S samt Forbrugerrådet. Markedsføringslovens 17 Retningslinierne er udstedt i medfør af markedføringslovens 17 og er således ikke formelt bindende, men handlinger, der er i strid med disse retningslinier, anses i almindelighed for at være i strid med kravet om god markedsføringsskik. Kun betalingskort Retningslinierne vedrører kun betalingssystemer med betalingskort, hvor der kan gennemføres betalingstransaktioner uden en aflæsning af betalingskortet kombineret med kortindehaverens autorisation i form af en underskrift eller brug af PIN-kode. 5/September 2003 Internethåndbogen 15
Regulering af betalingsformer på internettet Rettigheder i relation til debitering på kortet når ydelse ikke er leveret Fortrydelsesret Ud over at retningslinierne præciserer de rettigheder, som kortindehaveren allerede har i medfør af betalingsmiddelloven, indeholder retningslinierne vidtgående bestemmelser om kortindehavernes rettigheder i relation til debitering på kortet, når den bestilte ydelse ikke er leveret, eller når kortindehaveren har fortrydelsesret i henhold til aftale eller i henhold til dørsalgsloven. Retningslinierne har blandt andet det formål at sikre, at kortindehaver, der betaler på den gængse SSL-baserede måde via internettet stilles på samme måde, som hvis betaling var sket per efterkrav eller efter modtagelse af faktura. Retningslinierne er særligt interessante, idet de tillægger kortindehaver en udvidet beskyttelse i forhold til Betalingsmiddelloven på visse fundamentale områder. Betalingsmiddelloven beskytter således kun mod misbrug af kortet og ikke i relation til kortindehaverens eventuelle køberetlige indsigelser overfor betalingsmodtageren om, f.eks. at det købte ikke er leveret eller er mangelfuldt. Kortindehaveren ikke hæfter for misbrug af kortet Det princip, at det køberetlige forhold mellem betalingsmodtageren og indehaver af betalingsmidlet er udsteder uvedkommende, brydes i retningsliniernes punkt 5, idet det heraf fremgår, at debiterede beløb skal tilbageføres til kontoindehaveren, hvis kortindehaveren gør visse indsigelser gældende. Tilbageførsel skal altid ske, såfremt kortudstederen ikke umiddelbart kan godtgøre, at kortindehaverens indsigelse er uberettiget. En berettiget indsigelse fra kortindehaveren mod en debitering er efter retningslinierne, at en bestilt ydelse enten ikke er leveret, eller at kortindehaveren eller den angivne modtager har udnyttet en lovbestemt eller aftalt fortrydelsesret ved at undlade at modtage eller afhente den bestilte ydelse. Den lovbestemte fortrydelsesret, der tænkes på i dette tilfælde, er 7 dages fortrydelsesretten i Forbrugeraftalelovens kapitel 4. Betalingsmiddelloven og retningslinierne pålægger kortindehaveren at føre tilsyn med træk på hans konti. Såfremt et uberettiget træk ikke opdages, hæfter kortindehaveren de fakto. I bemærkningerne til retningsliniernes punkt 2 fremgår det, at kortudstederne skal søge at etablere procedure, som minimerer risikoen for misbrug, fejldebitering med videre. 16 Internethåndbogen 5/September 2003
Regulering af betalingsformer på internettet Det påpeges endvidere, at det er ønskeligt, at kortudstederne så vidt muligt indretter betalingssystemer således, at man som kortindehaver kan framelde sig muligheden for, at der overhovedet gennemføres usikre betalingstransaktioner. Det er specifikt i retningsliniernes punkt 7 bestemt, at det forhold, at en kortindehaver gør indsigelser mod debitering ikke i sig selv må medføre, at kortudsteder inddrager kortet eller helt opsiger aftalen med kortindehaveren. Retningslinierne trådte i kraft den 1. maj 1997. 5/September 2003 Internethåndbogen 17
Regulering af betalingsformer på internettet 18 Internethåndbogen 5/September 2003