Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 kr. af korttransaktioner. Aktivering/indrullering af MitID-app på svindlers enhed.

Sagsnummer: 560 /2023
Dato: 06-02-2024
Ankenævn: Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen, Mette Lindekvist Højsgaard, Tina Thygesen og Elizabeth Bonde.
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 kr. af korttransaktioner. Aktivering/indrullering af MitID-app på svindlers enhed.
Indklagede: Ringkjøbing Landbobank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktioner.

Sagens omstændigheder

Klageren var kunde i Ringkjøbing Landbobank, hvor han havde et betalingskort.

Den 19. august 2023 i tidsrummet kl. 00:55:39 til 01:55:50 blev der foretaget ni korttransaktioner på i alt 19.296 kr. til en betalingsmodtager, Z, og to korttransaktioner på i alt 12.000 kr. til en betalingsmodtager, X, som klageren ikke kan vedkende sig.

Banken har oplyst, at de ikke vedkendte betalinger blev godkendt i klagerens MitID-app med serienummer -6456, som var installeret den 18. august 2023, og at betalingerne var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.

Klageren gjorde indsigelse mod transaktionerne overfor banken. I indsigelsesblanketten vedrørende de ni transaktioner til Z anførte klageren blandt andet:

”… Identitetstyveri. Tyvene ringer fra [afdeling i Nordjyske Bank] [nu Ringkjøbing Landbobank] nr og fortæller mig at der har været en sikkerhedsbrist på Mitid og han vil guide mig igennem at få udbedret skaden. Han er endda i besiddelse af de sikkerhedskoder som kun banken har. Efter opkaldet er jeg blevet oplyst at der er oprettet en ny mitidapp og der er sket meget aktivitet inden jeg får mit mitid spærret. …

Er du på noget tidspunkt blevet kontaktet og bedt om at bekræfte/oplyse dit betalingskort eller dine personlige oplysninger? …

Ja, på telefon …”

Banken godtgjorde klageren tabet fratrukket 8.000 kr.

Klageren anmeldte endvidere sagen til politiet.

I beskeder til banken af 23. august og 5. september 2023 anførte klageren blandt andet:

”… Jeg mener at der har været en sikkerhedsbrist i jeres netværk som har tilladt hackere at anvende lokalnummeret fra [afdeling i banken] samt at udlevere sikkerhedskoder i forhold til ændring af mitid.

Jeg har talt med en medarbejder fra indsigelsesafdelingen som siger at afgørelsen er truffet på baggrund af at i mener at jeg har udleveret disse koder til tredjepart.

Jeg har udleveret intet. Jeg har modtaget koderne fra den person som foregav at være fra [afdeling i Nordjyske Bank]. Disse koder som kun i skulle være i besiddelse af.

Da jeg har modtaget koderne, indtaster jeg dem som man normalt skal i denne procedure.  …”

”… Jeg mindes ikke jeg har udført noget uforsvarligt.

Jeg blev venligt guidet gennem sikkerhedsforanstaltninger som virkede tillidsfulde og de koder jeg indtastede kom fra en sikkerhedsbrist i JERES system. De ville aldrig have været udleveret til mig af forbryderne hvis jeres sikkerhed var i top. …”

Banken fastholdt sin afgørelse.

Banken har fremlagt en udskrift med uddrag fra klagerens MitID log. Det fremgår heraf, at der før den 18. august 2023 var registreret et MitID-identifikationsmiddel med serienummer -8115 (MitID-app nr. -8115, oprettet den 17. juni 2022) og et MitID-identifikationsmiddel med serienummer -0770 (MitID-app nr. -0770, oprettet den 14. marts 2022) tilknyttet klagerens MitID, og at der den 18. august 2023 blev tilknyttet et MitID-identifikationsmiddel med serienummer -6456 til klagerens MitID på en anden enhed. Adgang til ændring (autentificering) fandt sted kl. 18:40 og 19:41 med klagerens MitID-app nr. -8115. Det fremgår endvidere, at der kl. 19:46 blev sendt en midlertidig pin-kode pr. SMS, som blev valideret kl. 19:46, hvorefter den nye MitID app var aktiveret.

Banken har oplyst, at der med klagerens MitID-app nr. -8115 blev swipet til/godkendt følgende: ”Log på MitID.dk for at se eller ændre i din MitID profil” den 18. august 2023 kl. 18:39 i forbindelse med, at der blev givet adgang til log ind på klagerens Mit-ID. Der blev anmodet om oprettelse af et nyt MitID-identifikationsmiddel, og der blev i den forbindelse sendt en notifikations-SMS (og en notifikation til eventuelt tilsluttede mailadresser) fra MitID til klagerens registrerede telefonnummer med følgende ordlyd:

”Du har bedt om adgang til at ændre oplysninger på MitID.dk og kan logge på om 1 time.

Har du ikke bedt om adgang? Ring til MitID support + 45 33980010.”

Banken har oplyst, at der den 18. august 2023 kl. 19:39 blev sendt endnu en notifikations-SMS fra MitID med følgende ordlyd:

”Du har nu adgang til at logge på MitID.dk og ændre oplysninger i 24 timer.

Har du ikke bedt om adgang? Ring til MitID support + 45 33980010.”

Banken har endvidere oplyst, at der med klagerens MitID-app nr. -8115 den 18. august 2023 kl. 19:41 blev swipet til/godkendt følgende: ”Log på MitID.dk for at se eller ændre i din MitID profil”, at der blev sendt en SMS-kode til klagerens registrerede telefonnummer hos MitID, og at der på dette tidspunkt ikke var sket en ændring af det hos MitID registrerede telefonnummer. Banken har endvidere oplyst, at koden blev indtastet samme dag kl. 19:46, hvorefter en ny MitID-app nr. -6456 var aktiveret. Banken har oplyst, at SMS’en udover koden indeholdt følgende tekst:

”… IMPORTANT: Never share this code with others. Not even with someone who claims to come from the bank or support.”

Parternes påstande

Den 11. september 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Ringkjøbing Landbobank skal godtgøre ham de resterende 8.000 kr.

Ringkjøbing Landbobank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har blandt andet anført, at han var udsat for identitetstyveri som følge af en sikkerhedsbrist i bankens sikkerhedssystem.

Den groft uforsvarlige adfærd skulle efter sigende være, fordi han selv swipede godkend på alle transaktioner, der blev foretaget, mens hans MitID var hacket, og at han havde udleveret koder til hackerne.

Han har bestemt ikke udvist groft uforsvarlig adfærd.

Der var tale om svindel på højt niveau.

Han blev narret på en ekstremt smart måde, hvor man er ude over sund fornuft til at gennemskue, om man bliver bedraget. Størstedelen af befolkningen ville ikke kunne gennemskue denne form for svindel.

Han kunne på ingen måde vide, at hans MitID var ved at blive overtaget. Der var ingen indikationer på dette. Han stolede på sin bank. Han kunne beviseligt se, at det var banken, der var på telefonen.

Groft uforsvarlig adfærd er vel mere en kategori for sager, hvor man har ladet sit hævekort ligge tilgængeligt eller ladet sin netbank stå åben et offentligt sted?

Koderne blev i første omgang taget fra banken af hackerne, som derefter udleverede dem til ham til indtastning i MitID. Han har ikke udleveret koderne; det har banken selv. Han har fulgt normal procedure. Han indtastede dem i sit MitID efter at have fået dem oplyst af hackerne pr. telefon. Han har stadig ikke fået svar på, hvordan hackerne havde adgang til dem.

Banken har stillet spørgsmål til, hvordan hackerne havde fået oplysninger om hans hævekort. Han vil tro, at det var på samme måde, som de havde fået fat i koderne til MitID, ved at hacke banken.

Ringkjøbing Landbobank har til støtte for frifindelsespåstanden anført, at betaleren efter betalingslovens § 100, stk. 4, hæfter med op til 8.000 kr. af tabet, blandt andet hvis en betaler ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Transaktionerne, som der er gjort indsigelse imod, blev godkendt med et MitID identifikationsmiddel, hvis oprettelse er blevet godkendt af klageren.

Ved godkendelsen af et nyt MitID identifikationsmiddel udviste klageren en groft uforsvarlig adfærd, som muliggjorde gennemførsel af transaktionerne, som klageren har gjort indsigelse imod. Banken var derfor berettiget til at vurdere, at klageren selv hæfter med 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 3.

Det nye MitID identifikationsmiddel -6456 blev installeret med indtastning af klagerens personlige bruger-ID, indtastning af unik SMS-pinkode, som blev sendt til telefonnummeret tilknyttet klagerens MitID samt to godkendelser via klagerens MitID identifikationsmiddel -8115 med minimum en times mellemrum. Godkendelsesanmodningen blev sendt til en enhed, hvor klagerens MitID identifikationsmiddel med serienummeret -8115 var installeret.

Et MitID identifikationsmiddel med et specifikt serienummer kan kun være installeret på én enhed. Ved en godkendelsesprocedure skal der altid foretages en fysisk swipebevægelse på den enhed, som godkendelsen er sendt til. En sådan fysisk swipebevægelse kan ikke foretages fra en anden enhed end den, som godkendelsesanmodningen er sendt til, ligesom en fysisk swipebevægelse/godkendelsesanmodning ikke kan fjerngennemføres. Det kan derfor kun være klageren selv, der foretog en fysisk swipebevægelse ved godkendelse af oprettelse af et nyt MitID identifikationsmiddel.

Inden oprettelsen af et nyt MitID identifikationsmiddel blev der sendt notifikations-SMS’er herom til klagerens registrerede telefonnummer hos MitID.

Der blev sendt en unik SMS-pinkode til klagerens registrerede telefonnummer hos MitID. Der blev enten foretaget indtastning eller videregivelse af koden. Af den fremsendte SMS med pinkode fremgik meget præcist og tydeligt: " IMPORTANT: Never share this code with others. Not even with someone who claims to come from the bank or support. Temporary PIN code for MitID app: [xx]”".

Klageren har anført, at koder i første omgang skulle være taget fra banken af hackerne, og derefter udleveret til klageren til indtastning i MitlD. Det bemærkes hertil, at banken aldrig vil udlevere koder telefonisk eller på andre måder end via de systemer (MitlD), som anvendes hertil.

Ringkjøbing Landbobank har til støtte for afvisningspåstanden anført, at stillingtagen til klagen forudsætter en yderligere bevisførelse i form af parts- og vidneafhøringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, hvorfor sagen bør afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Den 19. august 2023 i tidsrummet kl. 00:55:39 til 01:55:50 blev der foretaget 11 korttransaktioner på i alt 31.296 kr. til to betalingsmodtagere, som klageren ikke kan vedkende sig.

Banken har dækket klagerens tab med fradrag af 8.000 kr.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Klageren har anført, at han var udsat for identitetstyveri, og at han ikke har udleveret koder, men indtastede dem i sit MitID efter at have fået dem oplyst af svindlerne pr. telefon.

Banken har anført, at klageren i sin MitID-app nr. -8115 godkendte aktiveringen af en ny MitID-app på tredjemands enhed, og at klageren enten indtastede eller videregav en unik SMS-pinkode, der blev sendt til hans registrerede telefonnummer hos MitID, hvorved han ved groft uforsvarlig adfærd muliggjorde gennemførslen af den ikke vedkendte transaktion.

Ankenævnet finder, at en afklaring af de nærmere omstændigheder omkring aktiveringen af MitID-appen på tredjemands enhed, herunder om hvordan SMS-koden kom tredjemand i hænde, forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.