Indsigelse mod kortbetalinger. Aktivering/indrullering af MitID på svindlerens enhed.
| Sagsnummer: | 407 /2023 |
| Dato: | 06-02-2024 |
| Ankenævn: | Henrik Waaben, Inge Kramer, Janni Visted Hansen, Tina Thygesen og Lisbeth Baastrup Burgaard. |
| Klageemne: |
Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod kortbetalinger. Aktivering/indrullering af MitID på svindlerens enhed. |
| Indklagede: | Ringkjøbing Landbobank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod kortbetalinger. Aktivering/indrullering af MitID på svindlerens enhed.
Sagens omstændigheder
Klageren var kunde i Rindkøbing Landbobank, hvor hun havde en konto med et tilhørende betalingskort -580.
Banken har oplyst, at klageren inden den 13. juni 2023 havde et aktivt MitID-identifikationsmiddel med serienummer -764 og enhedstype SM-S908B oprettet den 5. maj 2022.
Banken har endvidere oplyst, at der den 12. juni 2023 kl. 14:12 skete en godkendt indlogning på MitID med klagerens identifikationsmiddel med serienummer -764.
Banken har med henvisning til en udskrift fra klagerens MitID-log oplyst, at det fremgår heraf, der blev givet adgang til, at der måtte logges ind og foretages ændringer på MitID. Af udskriften fremgår:
|
12-06-2023 15:14 |
Godkendelse – indtastet bruger-ID |
MitID.dk |
Information |
|
12-06-2023 15:12 |
Oplysninger – MitID bruger tildelt adgang til at ændre oplysninger i MitID profil |
- |
Kritisk |
|
12-06-2023 14:12 |
App – autentificering lykkedes |
- |
Information |
|
12-06-2023 14:12 |
Oplysninger – MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil |
- |
Kritisk |
|
12-06-2023 14:12 |
Godkendelse – logget på med MitID |
MitID.dk |
Information |
|
12-06-2023 14:12 |
App – autentificering lykkedes |
MitID.dk |
Information |
Banken har anført, at følgende forløb kan konstateres af uddrag af MitID-loggen for den 12. juni 2023:
|
Dato/tidspunkt |
Handling |
Enhed anvendt/ Anvendt MitID-identifikationsmiddel/ Godkendelsestekst i MitID app |
Afsendt advisering/notifikation |
|
12. juni 2023 / kl. 14:12 |
Givet adgang til, at der kan logges på MitID.dk Derved vil fremmede kunne få adgang til at bede om at foretage ændringer. Der blev anmodet om oprettelse af et nyt MitID identifikationsmiddel, og der blev sendt den besked, som fremgår af kolonnen yderst til højre. |
[-764] / Godkende følgende? ”Log på hos MitID.dk for at se eller ændre i din MitID profil” |
Du har bedt om adgang til at ændre oplysninger på MitID.dk og Kan logge på om en time. Har du ikke bedt om adgang? Ring til MitID support + 45 33980010. |
|
12. juni 2023 / kl. 15:12 |
(autogenereret notifikation) |
|
Du har nu adgang til at logge påMitID.dk og ændre oplysninger i 24 timer. Har du ikke bedt om adgang? Ring til MitID support + 45 33980010. |
Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf fremgår, at autentificering lykkedes den 13. juni 2023 kl. 09:09 med klagerens identifikationsmiddel med serienummer -764.
Banken har endvidere oplyst, at det via udtræk fra klagerens MitID-log kan konstateres, at der den 13. juni 2023 kl. 09:10 skete anvendelse af klagerens MitID-identifikationsmiddel med serienummer -764 ved oprettelse og godkendelse af, at der blev oprettet endnu et MitID-identifikationsmiddel med serienummer -312 på en anden enhed.
Banken har yderligere oplyst, at det nye MitID-identifikationsmiddel med serienummer -312 blev installeret med indtastning af klagerens personlige brugerID, indtastning af unik SMS-PIN-kode, der blev sendt til telefonnummeret tilknyttet klagerens MitID, samt to godkendelser via klagerens MitID-identifikationsmiddel med serienummer -764 med minimum en times mellemrum.
Klageren har oplyst, at hun den 13. juni 2023 kl. 09:10 modtog en SMS og en e-mail fra MitID. Heraf fremgik, at der var blevet oprettet et nyt MitID i hendes navn, men med et telefonnummer med landekode +40. Hun kontaktede straks banken, og hendes MitID blev spærret kl. 09:30.
Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf fremgår:
|
13-06-2023 09:10 |
App – ny MitID app aktiveret |
- |
Kritisk |
|
13-06-2023 09:10 |
Midlertidig PIN-kode – til MitID app valideret |
- |
Information |
|
13-06-2023 09:09 |
Midlertidig PIN-kode – til MitID app sendt på SMS |
- |
Information |
|
13-06-2023 09:09 |
Aktiveringskode – til MitID app valideret |
- |
Kritisk |
|
13-06-2023 09:09 |
Aktiveringskode – til MitID app oprettet |
- |
Kritisk |
|
13-06-2023 09:09 |
Godkendelse – logget på med MitID |
MitID.dk |
Information |
|
13-06-2023 09:09 |
App – autentificering lykkedes |
MitID.dk |
Information |
Banken har anført, at følgende forløb kan konstateres af uddrag af MitID-loggen for den 13. juni 2023:
|
Dato/tidspunkt |
Handling |
Enhed anvendt/ Anvendt MitID-identifikationsmiddel/ Godkendelsestekst i MitID app |
Afsendt advisering/notifikation |
|
13. juni 2023 / kl. 09:09
|
Indlogning på MitID Derved vil fremmede kunne få adgang til at bede om at foretage ændringer. Der blev anmodet om oprettelse af et nyt identifikationsmiddel. |
[-764] / Godkend følgende? ”Log på hos MitID.dk for at se eller ændre i sin MitID profil” |
|
|
13. juni 2023 / kl. 09:09 |
Der afsendes sms kode til klagerens registrerede telefonnummer ved MitID. På dette tidspunkt, er der ikke sket ændring af det ved MitID registrerede telefonnummer |
|
Midlertidig PIN kode til MitID app: xxxxxxxx VIGTIGT! Del aldrig denne kode med andre. Heller ikke med én som påstår at komme fra banken eller supporten |
|
13. juni 2023 / kl. 09:10 |
PIN kode indtastes |
|
|
|
13. juni 2023 / kl. 09:10 |
Nyt MitID aktiveret MitID identifikationsmiddel med serienummer [-312] blev aktivt. |
|
|
Den 13. juni 2023 kl. 09:27 og kl. 09:30 blev der med klagerens betalingskort foretaget to transaktioner på henholdsvis 851,99 EUR (6.422,86 DKK) og 591,99 EUR (4.161,27 DKK) til et udenlandsk firma F, som klageren ikke kan vedkende sig.
Banken har oplyst, at den ved en gennemgang af sine systemer ikke har konstateret, at transaktionerne var ramt af fejl, og at banken har konstateret, at de er korrekt registreret og bogført.
Banken har endvidere oplyst, at det nye MitID-identifikationsmiddel med serienummer -312 blev anvendt den 13. juni 2023 til at gennemføre de to transaktioner til firma F.
Klageren har fremlagt en GDPR-rapport fra MitID.dk. På rapportens side 149 fremgår hændelser fra et telefonnummer med landekode +40 af 13. juni 2023 kl. 09:54.
Klageren har oplyst, at hun forgæves rettede henvendelse til firma F, hvortil beløbene var blevet overført.
Klageren fremsatte indsigelse mod transaktionerne over for banken. Banken dækkede klagerens tab med fradrag af 8.000 DKK.
Klageren har ligeledes anmeldt sagen til politiet.
Parternes påstande
Den 8. juli 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at hun ønsker at opnå ”retfærdighed”. Ankenævnet har forstået påstanden således, at klageren nedlægger påstand om, at Ringkjøbing Landbobank skal tilbageføre 8.000 DKK til hende.
Ringkjøbing Landbobank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at banken bør behandle hende retfærdigt. Hun har en følelse af, at banken ikke har set hendes sag ordentligt igennem og ikke har lyttet til hende.
Af bankens afgørelse fremgår, at hun har udvist grov uforsvarlig adfærd og derfor selv muliggjorde, at andre kunne udnytte hendes MitID.
Det er hun på ingen måde enig i. Hun har ikke selv muliggjort misbruget, og hun har aldrig givet sine personlige oplysninger til nogen. Ingen andre har haft adgang til hendes personlige oplysninger, herunder PIN-kode, SMS-engangskode, hendes personlige kodeord eller hendes MitID. Derudover har MitID forskellige sikkerhedsbrister, og hun har talt med Nets, der ikke kan udelukke, at hun var blevet hacket.
Banken understreger, at et MitID identifikationsmiddel kun kan være installeret på én enhed. Det kan den meget muligt have ret i, men faktum er, at hun ikke har videregivet sine personlige oplysninger til nogen, hverken i Danmark eller udlandet. Hun har ingen forklaring på, hvordan det kan være sket, og hvor sikkerhedsbristen er.
Af GDPR-rapportens side 149, som hun har fra MitID, fremgår, at det nummer, som har overført hendes MitID til sig, har landekode +40. Landekode +40 tilhører Rumænien. Dette er mærkeligt, men det overbeviser hende om, at hun har været en af de uheldige og på den ene eller den anden måde er blevet hacket.
Telefonen med det rumænske nummer er en IOS-enhed, og hun har ingen Apple-produkter.
Hun reagerede med det samme, da hun fandt ud af, at hendes oplysninger blev misbrugt. Hun undrer sig over, at banken ikke har været i stand til at stoppe transaktionerne så kort tid efter, de blev foretaget.
Ringkjøbing Landbobank har til støtte for frifindelsespåstanden anført, at banken er berettiget til at gøre en selvrisiko på 8.000 DKK gældende overfor klageren.
Eftersom pålogning skete på og godkendelsesanmodningen vedrørende et nyt MitID-identifikationsmiddel blev sendt til en enhed, hvor klagerens MitID-identifikationsmiddel med serienummer -764 var installeret, vurderes det kun at kunne være klageren selv, der foretog en fysisk swipe-bevægelse i forbindelse med godkendelse af oprettelse af et nyt MitID identifikationsmiddel.
Kun ét MitID-identifikationsmiddel med et specifikt serienummer kan være installeret på én enhed, ligesom der ved en godkendelsesprocedure altid skal foretages en fysisk swipe-bevægelse på den enhed, som godkendelsen er sendt til. Swipe-bevægelsen kan ikke foretages fra en anden enhed end den, som godkendelsesanmodningen er sendt til, ligesom en fysisk swipe-bevægelse/godkendelsesanmodning ikke kan fjerngennemføres.
Inden oprettelsen af et nyt MitID-identifikationsmiddel med serienummer -312 blev der sendt advarselsnotifikations-SMS'er herom til klagerens registrerede telefonnummer ved MitID samt til eventuelt tilsluttede mailadresser, og der skulle gå minimum en time, inden endelig godkendelse/oprettelse kunne foretages.
Der blev sendt en unik SMS-PIN-kode til klagerens registrerede telefonnummer ved MitID, og der blev enten foretaget indtastning eller videregivelse heraf.
Klageren muliggjorde ved oprettelsen af et nyt MitID identifikationsmiddel med serienummer -312 gennemførsel af de transaktioner, som klageren har gjort indsigelse imod, og de transaktioner, der er gjort indsigelse imod, er begge blevet godkendt med et MitID-identifikationsmiddel, hvis oprettelse blev godkendt af klageren.
Ved godkendelsen af det nye MitID-identifikationsmiddel med serienummer -312 vurderes det, at klageren har givet adgang til, at fremmede vil kunne anvende MitID til alt, hvad MitID kan anvendes til, herunder godkende transaktioner på klagerens vegne ved anvendelse af hendes kortoplysninger, der også via MitID kan opnås adgang til.
Ændringen af telefonnummeret skete først efter installation af den første nye enhed/det nye MitID-identifikationsmiddel.
Klageren skal have udleveret/indtastet sit MitID-brugerID, for at hændelserne kunne ske.
Klageren har ved de kritiske handlinger, det vil sige alle handlinger, hvor der er alvorlighedsgrad ”critical”, modtaget en SMS fra MitID til det af klageren ved MitID registrerede telefonnummer samt en e-mail, hvis klageren havde en e-mailadresse registeret.
Det er således bankens vurdering, at klageren ved godkendelsen af et nyt MitID-identifikationsmiddel udviste en adfærd, som kan betegnes som værende groft uforsvarlig, og som muliggjorde gennemførsel af de transaktioner, som klageren har gjort indsigelse imod, og at banken derfor er berettiget til at vurdere, at klageren selv hæfter med en selvrisiko på DKK 8.000, jf. betalingslovens § 100, stk. 4, nr. 3.
Banken har til støtte for afvisningspåstanden anført, at Ankenævnet bør afvise at behandle klagen, idet dette forudsætter en yderligere bevisførelse i form af parts- og vidneafhøringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, hvorfor sagen bør afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Den 13. juni 2023 blev klagerens betalingskort anvendt til to betalinger på 851,99 EUR (6.422,86 DKK) og 591,99 EUR (4.161,27 DKK) til et udenlandsk firma, som klageren ikke kan vedkende sig.
Banken har dækket klagerens tab med fradrag af 8.000 DKK.
Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Klageren har anført, at hun ikke har udleveret oplysninger til tredjemand, og at hun er blevet udsat for hacking. Banken har anført, at klageren i sit MitID med serienummer -764 godkendte aktiveringen af en ny MitID-app på tredjemands enhed, hvorved klageren ved groft uforsvarlig adfærd muliggjorde gennemførslen af de ikke vedkendte transaktioner.
Ankenævnet finder, at en afklaring af de nærmere omstændigheder omkring aktiveringen af MitID-appen på tredjemands enhed forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.