Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i MitID-app.

Sagsnummer: 115/2023
Dato: 13-10-2023
Ankenævn: Bo Østergaard, Christina Bryant Konge, Janni Visted Hansen, Jacob Ruben Hansen og Anna Marie Schou Ringive
Klageemne: Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst: Indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i MitID-app.
Indklagede: Nykredit Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i MitID-app.

Sagens omstændigheder

Klageren var kunde i Nykredit Bank, hvor han havde en konto med et tilknyttet betalingskort.

Den 18. januar 2023 kl. 20:52 [dansk tid] blev klagerens betalingskort anvendt til en betaling til en udenlandsk betalingsmodtager, F, på 1.850 EUR, som klageren ikke kan vedkende sig.

Om baggrunden for transaktionen har klageren oplyst, at han den 18. januar 2023 modtog en mail, der fremstod som om, at den kom fra PostNord, hvoraf fremgik, at de forgæves havde forsøgt at levere en pakke, og at det ville koste et gebyr på 15 DKK at få den leveret igen. Han betalte de 15 DKK. Mailen er ikke fremlagt i sagen.

Klageren har fremlagt en SMS som han fik fra Nets kl. 20:52 med en engangskode, hvor han skulle godkende et køb på 1.850 EUR. Han opdagede, at der var noget galt og har oplyst, at han derfor undlod at indtaste engangskoden. Straks herefter kontaktede han banken og fik spærret sit kort.

Banken har fremlagt en udskrift med ”Processing Details” fra Nets, hvoraf fremgår, at kortbetalingen blev godkendt med sikkerhedsløsningen 3D Secure ved godkendelse i klagerens MitID-app. Banken har oplyst, at klagerens MitID-app blev installeret på klagerens Android 12 telefon den 4. maj 2022.

Banken har oplyst, at det fremgår af udskriften fra Nets, at klageren fik præsenteret følgende tekst i sin MitID-app:

”Betal 1850,00 EUR til [F] fra kort xx8516”

Klageren har fremlagt en mail af 19. januar 2023 kl. 07:10, som han sendte til sin rådgiver i banken, hvori han anførte:

”Jeg har købt en iltsonde til mit pillefyr på Ebay for en uges tid siden.

I aftes fik jeg så nedenstående mail fra ”PostNord” (Rul ned og se den)

Jeg klikkede på linket for at opdatere adressen mv og betalte de 15 kroner, som der stod det ville koste at få den leveret igen.

Et øjeblik efter får jeg en sms fra Nets med en kode hvor jeg skal godkende et køb på 1850 Euro !!!

Det er helt sikkert et forsøg på Phishing som det hedder.

En eller anden har opsnappet at jeg venter på en pakke fra Postnord og sender så denne mail.

Spørgsmålet er om jeg skal spærre mit kort, da jeg jo har tastet mit kortnummer, mail og telefon nr. ind.

Men de kan vel ikke gøre noget når de ikke kan taste engangskoden fra Nets ind?

Der er ikke trukket noget fra kontoen.”

Umiddelbart herefter fik klageren et autosvar fra rådgiveren om, at hun ikke var på kontoret, og at hendes mails i hendes fravær blev læst af en kollega.

Den 20. januar 2023 blev der trukket 13.900,04 DKK på klagerens konto.

Den 22. januar 2323 gjorde klageren indsigelse mod betalingen på 1.850 EUR og anførte, at han ikke havde godkendt betalingen.

Banken godtgjorde klagerens tab fratrukket 8.000 DKK svarende til 5.900,04 DKK.

Parternes påstande

Den 9. februar 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nykredit Bank skal betale 7.625 kr. og alene beregne en selvrisiko på 375 DKK.

Nykredit Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han fik en mail fra ”PostNord” med besked om, at de forgæves havde forsøgt at levere en pakke, og at det ville koste et gebyr at få den leveret igen. Han klikkede på linket for at opdatere adressen mv. og betalte de 15 DKK, som der stod, at det ville koste at få den leveret igen.

Et øjeblik efter fik han en SMS fra Nets med en kode, hvor han skulle godkende et køb på 1.850 EUR. Der opdagede han, at der var noget helt galt og undlod derfor at indtaste engangskoden. Han regnede ikke med, at betalingen kunne blive gennemført, når han ikke havde tastet engangskoden fra Nets ind.

Han har ganske rigtigt brugt sin personlige sikkerhedsforanstaltning til at godkende de 15 DKK. Han er 100 % sikker på, at han ikke har godkendt en overførsel på 1.850 EUR til F.

Han har bedt MitID om dokumentation for, hvad der blev vist på hans telefonskærm, inden han swipede. Banken fastholder, at den på en log kan se, at han godkendte 1.850 EUR til F. MitID har oplyst, at de kun kan se godkendelsen, men ikke beløb og modtager. Han er uforstående over for dette. Det hænger ikke sammen.

Det følger af betalingsloven, at han ikke hæfter for 8.000 DKK, når han gav kortudbyderen besked om misbruget omgående, og han ikke har oplyst koden til den, der har misbrugt koden. Han har ikke opført sig så uansvarligt, at misbruget har været muligt, da han var i god tro og alene bekræftede et køb på 15 DKK. Han troede også, at han stoppede transaktionen ved at undlade at taste engangskoden fra Nets. Han henviser i øvrigt til Forbrugerstyrelsens hjemmeside.

Ifølge betalingsloven skal banken dække det beløb, der er blevet trukket efter, at den har fået besked om svindlen.

Han underrettede banken om svindlen den 19. januar 2023 om morgenen, og de 13.900 DKK blev først trukket på hans konto den 20. januar 2023. Hvis banken havde reageret den 19. juni 2023, kunne misbruget formodentlig være undgået. Banken har derfor ikke handlet, som den burde og bør ændre hans selvrisiko til 375 DKK.

Nykredit Bank har anført, at betalingen blev godkendt med klagerens MitID-app og dermed godkendt med stærk kundeautentifikation.

Det fremgik af godkendelsesteksten i klagerens MitID-app, at betalingsmodtageren var F, og at beløbet var 1.850 EUR, som ville blive trukket på klagerens betalingskort.  

Det var klageren selv, der foretog godkendelsen via sin MitID-app, hvilket bekræftes af hans egen forklaring.

Klageren har handlet groft uforsvarligt, idet han nøje burde have undersøgt, hvem betalingsmodtageren var samt hvilket beløb, det drejede sig om, inden godkendelsen blev foretaget med MitID. Klageren hæfter derfor med 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.

Banken har godtgjort klageren den del af tabet, der overstiger 8.000 DKK.

Klageren befandt sig ikke i en presset situation svarende til for eksempel den situation, hvor misbruget sker i forbindelse med telefonisk kontakt. Klageren havde derfor mulighed for grundigt at læse den tekst, der fremgik i forbindelse med transaktionen, inden han godkendte. Havde klageren udvist den fornødne agtpågivenhed, ville transaktionen kunne have været forhindret.

Det var ikke muligt for banken at stoppe eller tilbagekalde transaktionen, jf. betalingslovens § 111, stk. 1. En betalingsordre kan ikke tilbagekaldes, efter den er modtaget af betalerens udbyder.

Det kan oplyses, at den tekst, der vises i MitID-appen, er sat op af tjenesteudbyderen. Når det drejer sig om godkendelse af betalinger, er det banken, der er tjenesteudbyder, og dermed er det banken, der sætter teksten op i godkendelsesvinduet. Derfor kan banken som tjenesteudbyder i relation til gennemførelsen af betalinger tilgå data for hvilken tekst, der har været vist i MitID-appen. Det er også derfor, at MitID og Digitaliseringsstyrelsen ikke har adgang til selve beskedteksten.

Ankenævnets bemærkninger

Den 18. januar 2023 kl. 20:52 [dansk tid] blev klagerens betalingskort anvendt til en betaling til en udenlandsk betalingsmodtager, F, på 1.850 EUR, som klageren ikke kan vedkende sig.

Om baggrunden for transaktionen har klageren oplyst, at han den 18. januar 2023 modtog en mail, der fremstod som om, at den kom fra PostNord, hvoraf fremgik, at de forgæves havde forsøgt at levere en pakke, og at det ville koste et gebyr på 15 DKK at få den leveret igen. Han betalte de 15 DKK. 

Klageren har fremlagt en SMS som han fik fra Nets kl. 20:52 med en engangskode, hvor han skulle godkende et køb på 1.850 EUR. Han opdagede, at der var noget galt og har oplyst, at han derfor undlod at indtaste engangskoden. Straks herefter kontaktede han banken og fik spærret sit kort.

Banken har oplyst, at den omtvistede betaling med klagerens betalingskort blev godkendt med sikkerhedsløsningen 3D Secure ved godkendelse i klagerens MitID-app. Af en udskrift fra Nets fremgår, at følgende tekst blev sendt til klagerens MitID-app: ”Betal 1850,00 EUR til [F] fra kort xx8516”.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Klageren har anført, at han ikke godkendte betalingen af 1.850 EUR til F.

Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.

Ankenævnet finder endvidere, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.

Det var ikke muligt for banken at stoppe eller tilbagekalde transaktionen, jf. betalingslovens § 111, stk. 1. En betalingsordre kan ikke tilbagekaldes, efter den er modtaget af betalerens udbyder.

Efter lov om betalinger § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. § 100, stk. 4, nr. 3.

Tre medlemmer – Bo Østergaard, Christina Bryanth Konge og Janni Visted Hansen – udtaler:

Vi lægger til grund, at klageren har godkendt betalingen på 1.850 EUR med sit MitID. Vi finder det således godtgjort, at teksten i den besked, som klageren modtog i MitID-appen indeholder de oplysninger, som fremgår af den af banken fremlagte udskrift fra Nets, og at klageren således modtog oplysning om beløb og betalingsmodtager.

Vi finder herefter, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID-appen, hvor han fik oplysninger om beløbet på 1.850 EUR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Jacob Ruben Hansen og Anna Marie Schou Ringive – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, hvor forbrugeren oplever, at beløbet ændrer sig efter, at transaktionen er godkendt, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, hvor beløbet først ændres efter, at transaktionen er godkendt.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, banken skal tilbageføre 7.625 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.