Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for korttransaktion på 3.478 DKK godkendt i MitID-app. Bedragerisk telefonopkald i forlængelse af forsøg på køb på falsk hjemmeside.

Sagsnummer: 263 /2023
Dato: 06-02-2024
Ankenævn: Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen, Karin Sønderbæk, Tina Thygesen og Elizabeth Bonde
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for korttransaktion på 3.478 DKK godkendt i MitID-app. Bedragerisk telefonopkald i forlængelse af forsøg på køb på falsk hjemmeside.
Indklagede: Jyske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for korttransaktion på 3.478 DKK godkendt i MitID-app. Bedragerisk telefonopkald i forlængelse af forsøg på køb på falsk hjemmeside.

Sagens omstændigheder

Klageren var kunde i Jyske Bank, hvor han havde et Visa/dankort nr. -20.

Den 4. januar 2023 blev der foretaget en kortbetaling på 499 EUR (3.478,67 DKK) med klagerens kort til en betalingsmodtager, R, som klageren ikke kan vedkende sig.

Klageren har oplyst, at han midt i december 2023 prøvede at købe en elcykel på Bilkas hjemmeside. Købet kunne ikke gennemføres på daværende tidspunkt. Den 4. januar 2023 blev han telefonisk kontaktet af en person, som udgav sig fra at være fra Bilka. Personen bad ham godkende købet med MitID. Klageren har anført, at han derefter prøvede dette, men ikke kunne logge på MitID, at MitID koden blev afvist, og hans MitID blev spærret. Han kontaktede efterfølgende Bilka, som oplyste, at hverken hjemmeside eller telefonopkald var deres. Straks da han konstaterede, at der var trukket 3.748,67 DKK, spærrede han sit kort samt politianmeldte sagen.

Banken har oplyst, at betalingen er foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i MitID-app. Banken har fremlagt en udskrift fra Nets’ system med teksten, der blev sendt til MitID-app i forbindelse med godkendelse af betalingen. Af teksten fremgik:

”Betal 499,00 EUR til [R] fra kort xx4720”

Banken har oplyst, at teksten blev sendt til MitID-appen kl. 13.16, og at der i autentifikationsportalen er en tidsforskel på en time i forhold til dansk tid, hvorfor det korrekte tidspunkt er kl. 14.16.

Banken har endvidere oplyst, at transaktionen var korrekt bogført og ikke har været ramt af tekniske svigt eller andre fejl.

Banken har yderligere oplyst, at, betalingen blev godkendt i klagerens MitID-app, identifikationsnummer -0305. Banken har fremlagt en udskrift fra klagerens MitID-log, hvoraf det fremgår, at MitID-app -0305 var installeret den 23. november 2021 på en iOS-enhed (iPhone7), og at MitID-app -0305 var det eneste identifikationsmiddel tilknyttet klagerens MitID-bruger-profil.  Endvidere fremgår:

”…

04-01-2023 14:16                                       App - autentificering lykkedes …

MitID identifikationsmiddel-ID                     […] 0305

Transaktions-ID                                           […] 35ee …”

Klageren har fremlagt en udskrift fra MitID.dk vedrørende transaktion ”…35ee” den 4. januar 2023 kl. 14.16, hvoraf det fremgår:

”Godkendelse - logget på ny tjeneste med MitID for allerede pålogget identitet

Brugeragent    Mozilla/5.0 (Linux; Android 12; …

Handling          APPROVE …”

Den 6. januar 2023 indgav klageren indsigelse til banken. Klageren oplyste, at han ikke på noget tidspunkt havde bekræftet sine kortoplysninger samt andre personlige oplysninger pr. mail eller sms. Klageren oplyste endvidere:

”Jeg blev ringet op fra telefonnr. …, da jeg ville købe en cykel fra Bilka. Jeg blev under samtalen bedt om at godkende købet med mit Nem-ID, hvilket jeg ikke gjorde.”

Banken vurderede, at klageren hæftede med op til 8.000 DKK. Da klagerens tab var mindre end 8.000 DKK, godtgjorde banken ikke klageren noget beløb.

Parternes påstande

Den 24. april 2023 har klageren indbragt sagen for Ankenævnet, der har forstået klagerens påstand således, at Jyske Bank skal tilbageføre 3.478,67 DKK til ham.

Jyske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har blandt andet anført, at banken har anerkendt, at han var udsat for phishing, men har afvist sagen, da den mener, at han selv har videregivet oplysninger og derfor har en selvrisiko på 8.000 DKK. Han er ikke enig i dette.

Han har på intet tidspunkt i telefonsamtalen den 4. januar 2023 videregivet oplysninger, der kunne føre til misbrug af hans konto. Det er korrekt, at han i forvirringen selv prøvede at logge på MitID, men dette mislykkedes med en besked om, at MitID var spærret. Derefter fik han mistanke om eventuel svindel og afbrød samtalen med svindleren. Han kontaktede efterfølgende Bilka, som kunne bekræfte, at der var tale om svindel. Da han ikke havde kunnet logge på MitID og af samme grund heller ikke godkendte et køb, var han sikker på, at der ikke var sket nogen økonomisk skade. Til hans store overraskelse viste det sig, at der den 6. januar 2023 var trukket 499 EUR (3.478,67 DKK) fra hans konto.

Jyske Bank skriver i sit svar: “Efter betalingslovens § 100, stk. 4, nr. 3, hæfter betaleren med op til 8.000 kr. for tab, ved groft uforsvarlig adfærd at have muliggjort den uberettigede anvendelse.” Han har meget svært ved at se, hvad han kunne have gjort anderledes. Han har jo netop ikke handlet uforsvarligt, da han ikke har videregivet oplysninger til svindler, men tværtimod afbrød opkaldet, da han fik mistanke. Ligeledes skriver Jyske Bank, “at opkaldet burde have skærpet hans opmærksomhed”. Det var jo netop en skærpet opmærksomhed, der gjorde, at han afbrød opkaldet og efterfølgende kontaktede Bilka.

Hans ”forbrydelse” består i, at han havde besøgt en falsk hjemmeside, hvor han havde prøvet at købe et produkt, hvilket mislykkedes. Straks da han fik mistanke om, at han havde været udsat for phishing, spærrede han sit kort og politianmeldte sagen.

Da han modtog udskriften med teksten ”Godkendelse - logget på ny tjeneste med MitID for allerede pålogget identitet” kontaktede han Digitaliseringsstyrelsen og talte med to medarbejdere, som uafhængigt af hinanden vurderede, at der var tale om en ekstern enhed, som havde logget på hans MitID.  Udskriften viser, at der er logget på MItID fra en Android enhed, og han selv bruger iPhone.

Banken har ikke givet ham nogen hjælp og har på intet tidspunkt været lydhør over for hans oplevelse.

Han står magtesløs som forbruger, når både banken og politiet lukker sagen med henvisning til, at det er hans egen skyld.

Alle kan blive udsat for phishing, men i stedet for støtte og support bliver man mistænkeliggjort og får at vide “at det er din egen skyld”. Det ville klæde Jyske Bank at tage et ansvar for sikkerheden for sine kunder.

Jyske Bank har til støtte for frifindelsespåstanden blandt andet anført, at betalingen er korrekt registreret og bogført og har ikke været ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Betalingen blev godkendt med klagerens Visa/dankort i klagerens MitID-app -0305, som blev installeret i 2021. Ved transaktionen blev der anvendt stærk kundeautentifikation.

Efter betalingslovens § 100, stk. 4, nr. 3, hæfter betaleren (medmindre videregående hæftelse følger af stk. 5) med op til 8.000 DKK for tab som følge af andres uberettigede anvendelse af betalingstjenesten, hvis betalerens udbyder godtgør, at den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Klageren har oplyst, at han den 4. januar 2023 blev ringet op af en person, der udgav sig for at være fra Bilka, i forbindelse med, at han midt i december 2022 havde prøvet at købe en cykel hos Bilka. Handel med Bilka sker normalt via online-handel, og det forekommer derfor usædvanligt, at klageren skulle være kontaktet af Bilka og anmodet om at gennemføre en betaling med MitID pr. telefon. Opkaldet burde dermed have skærpet klagerens opmærksomhed. Det lægges til grund – hvilket også bekræftes af klagerens oplysninger – at klageren har videregivet sine kortoplysninger for sit Visa/dankort i forbindelse med, at klageren blev kontaktet telefonisk af personen fra ”Bilka”.

Klageren blev i forbindelse med og umiddelbart forinden godkendelsen af betalingen i sin MitID-app forevist teksten ”Betal 499,00 EUR til [R] fra kort xx4720”. Klageren burde have været særligt opmærksom på godkendelsesteksten i MitID-appen, hvor beløbet fremgik i EUR, og ikke i DKK, som vil være at forvente, når man handler med en dansk virksomhed. Det fremgik endvidere, at betalingsmodtageren var R og ikke Bilka. Da klageren til trods herfor godkendte betalingen, har klageren ”ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse” og hæfter dermed med op til 8.000 DKK af tabet. Da tabet er mindre end 8.000 DKK, hæfter klageren med det fulde beløb.

Hændelsen ”Godkendelse - logget på ny tjeneste med MitID for allerede pålogget identitet” indeholder oplysninger, der henviser til ”betalingssporet” for den i sagen omhandlede betaling, idet oplysningerne, bortset fra oplysningerne om ”Linux; Android 12”, er identiske med de oplysninger for betalingssporet, der er registreret i bankens systemer. Hændelsen er udtryk for, at betalingen blev indtastet på en Android enhed ved brug af klagerens kortoplysninger, som klageren videregav til svindleren i forbindelse med, at klageren prøvede at gennemføre købet.

Klagerens bemærkninger om, at en anden enhed skulle have godkendt betalingen med MitID giver ikke mening, da MitID-app -0305, der var installeret på klagerens enhed, var det eneste MitID-identifikationsmiddel, der var aktivt på tidspunktet for betalingens gennemførelse.

Jyske Bank har til støtte for afvisningspåstanden anført, at der er en sådan usikkerhed om det faktisk passerede, herunder hvilke betalingsoplysninger, som klageren fik vist i betalingsflowet, at en afgørelse forudsætter en bevisvurdering i form af parts- og vidneforklaringer, som ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Sagen bør derfor afvises i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

 

Ankenævnets bemærkninger

Den 4. januar 2023 blev der foretaget en kortbetaling på 499 EUR (3.478,67 DKK) med klagerens kort til en betalingsmodtager, R, som klageren ikke kan vedkende sig.

Klageren har bestridt, at han har foretaget eller godkendt betalingen. Klageren har oplyst, at han midt i december 2023 prøvede at købe en elcykel på Bilkas hjemmeside, men at købet ikke kunne gennemføres. Den 4. januar 2023 blev han telefonisk kontaktet af en person, som udgav sig fra at være fra Bilka. Personen bad ham godkende købet med MitID. Han prøvede, men kunne ikke logge på MitID.

Banken afviste at dække klagerens tab.

Den omtvistede betaling med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i MitID-app.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet lægger til grund, at transaktionen skyldtes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

 

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.