Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod korttransaktion foretaget som en 3D Secure betaling ved godkendelse med MitID.

Sagsnummer: 157/2023
Dato: 13-10-2023
Ankenævn: Bo Østergaard, Christina Bryanth Konge, Jimmy Bak, Jacob Ruben Hansen og Anna Marie Schou Ringive.
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod korttransaktion foretaget som en 3D Secure betaling ved godkendelse med MitID.
Indklagede: Nordea Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod korttransaktion foretaget som en 3D Secure betaling ved godkendelse med MitID.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun bl.a. havde en konto med et tilknyttet betalingskort -558 samt en tilknyttet kredit.

Klagerens kredit blev nedskrevet til 1.000 DKK i november 2022.

Klageren har oplyst, at hun den 22. december 2022 var på sygehuset, hvor hun loggede på sygehusets wi-fi for at tilgå Min Sundhed. Klageren har fremlagt en udskrift af sin MitID-historik og har med henvisning hertil oplyst, at hun loggede på wi-fien kl. 14:20. Klageren har endvidere oplyst, at hun ikke er klar over, om der i forbindelse med login på netværket var nogen, der tilgik hendes MitID-oplysninger.

Den 4. januar 2023 udgjorde saldoen på klagerens konto 4.328,96 DKK, og den 5. januar 2023 udgjorde den 3.070,96 DKK.

Den 5. januar 2023 blev der med klagerens betalingskort gennemført en kortbetaling på 1.764,90 EUR, svarende til 13.258,08 DKK, fra klagerens konto i banken til en udenlandsk betalingsmodtager, F.

Banken har anført, at betalingen blev gennemført kl. 21:15.

Klageren har oplyst, at hun den 5. januar 2023 var i behandling på sygehuset i fem timer fra kl. 8:00, og at hun var hjemme ca. kl. 15:30. Hun gik i seng ca. kl. 20:40, da hun havde det dårligt efter sin behandling.

Klageren har fremlagt en udskrift af sin MitID-historik, hvoraf fremgår, at der den 5. januar 2023 var aktivitet fra kl. 21:12 til kl. 21:20.

Banken har fremlagt en udskrift fra Nets, hvoraf fremgår, at følgende tekst blev sendt til klagerens MitID i forbindelse med godkendelse af betalingen:

”Betal 1.764,90 EUR til [F] fra kort [-558]”

Banken har oplyst, at transaktionen blev gennemført ved anvendelse af klagerens kortoplysninger og godkendelse af betalingen med klagerens MitID-app.

Den 10. januar 2023 udgjorde saldoen på klagerens konto 3.237,95 DKK.

Kortbetalingen af 5. januar 2023 blev bogført på klagerens konto den 11. januar 2023, hvorefter saldoen på kontoen udgjorde -10.020,13 DKK.

Banken har oplyst, at transaktionen var korrekt registreret og bogført.

Klageren fremsatte indsigelse mod transaktionen over for banken. Banken tilbageførte transaktionen fratrukket 8.000 DKK. 

Klageren klagede over bankens afgørelse.

Den 2. juni 2023 fastholdt banken afgørelsen.

Af bankens ”Regler for Dankort og Visa/Dankort” fremgår bl.a.:

3. Brug af Visa/Dankort

3.1 Betaling

Inden du godkender en betaling eller en hævning, skal du altid sikre dig, at beløbet er korrekt. Betalinger, som du har godkendt, kan ikke tilbagekaldes. […]

[…]

7.2 Køb på internettet, post- og telefonordre m.m.

Hvis du har brugt dit kort til køb af varer eller tjenesteydelser på en af følgende måder:

• køb på internettet

• køb via post- eller telefonordre

• køb hvor kortet ikke er aflæst elektronisk, men hvor kortdata og den personlige sikkerhedsforanstaltning (fx kodeord/engangskode, MitID, NemID el.lign.) er brugt til at gennemføre transaktionen

• køb i selvbetjente automater uden brug af den personlige sikkerhedsforanstaltning

kan du have ret til at få en betaling tilbageført, hvis:

• forretningen har trukket et højere beløb end aftalt

• den bestilte vare/tjenesteydelse ikke er leveret

• du, førend der er foretaget levering af varen eller tjenesteydelsen, udnytter en aftalt eller lovbestemt fortrydelsesret.

[…]”

Parternes påstande

Den 1. marts 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbageføre 8.000 DKK til hende.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at beløbet på 13.258,08 DKK ikke var til rådighed på hendes konto. I november 2022 indgik hun en aftale med banken om, at hendes kassekredit skulle sættes ned til 1.000 DKK. Hun kan derfor ikke forstå, at det var muligt for bedrageren at godkende betalingen.

Banken har ikke ført tilstrækkeligt tilsyn med hendes konto, idet der blev tilladt et træk på kontoen, uden at der var penge til rådighed. Som kunde kan hun ikke gøres ansvarlig for bankens utilstrækkelige tilsyn med kontoen, og alene på det grundlag kan selvrisikoen ikke gøres gældende. Hvis den praksis er lovlig, så har selvrisikoen i sig selv karakter af et gebyr, og det vil i givet fald være et ulovligt gebyr.

Bankens anbringende om kreditbegrænsning medfører, at denne kreditbegrænsning reelt er uden indhold, hvilket er yderst kritisabelt. Ankenævnets sag nr. 132/2018 har ingen lighed med hendes.

Det fremgår af MitID-historikken, at der både inden og efter den pågældende transaktion var gentagne forsøg på godkendelse af køb, hun ikke har foretaget. Svindlerne har adskillige gange forsøgt at få adgang via stjålne informationer om hendes MitID, indtil det til sidst lykkedes for dem. Den 21. januar 2023 var der igen forsøg på misbrug af hendes nye betalingskort, hvor banken reagerede og spærrede kortet.

Som borger kan hun ikke gøres ansvarlig for sikkerhedsbrud og manglende opsyn med konsekvenserne af en utilstrækkelig sikkerhed i MitID og bankens håndtering heraf. Banken bør sikre, at det undersøges, hvorvidt der har været et sikkerhedsbrud hos MitID, som kriminelle har udnyttet.

Hun har hverken bestilt varer eller ydelser fra F, som hun ikke kender. Hun har heller ikke godkendt betalingen af beløbet med MitID.

Hun har på ingen måde med forsæt overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og hun har heller ikke ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse.

Banken anfører, at hun ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse af sit kort. Hun kan ikke acceptere, at det kan betegnes som uforsvarlig adfærd for en ældre kvinde at befinde sig i sin seng om aftenen.

Hun kontaktede straks banken, da hun opdagede, at beløbet var trukket. Hende bekendt har banken ikke på noget tidspunkt gjort forsøg på at få pengene tilbage eller givet hende oplysninger om, hvem den reelle modtager af beløbet er.

Hun må have mulighed for at få det fulde beløb tilbagebetalt med henvisning til bankens Regler for Dankort og Visa/Dankort punkt 7.2, hvorefter hun kan have ret til at få en betaling tilbageført, hvis den bestilte vare/tjenesteydelse ikke er leveret.

Ifølge betalingslovens § 100 hæfter banken, hvis tabet, tyveriet eller den uberettigede tilegnelse af det til betalingstjenesten hørende betalingsinstrument eller den til betalingstjenesten hørende personlige sikkerhedsforanstaltning ikke kunne opdages af betaleren forud for den uberettigede anvendelse.

Det er særdeles utrygt, at en sag som hendes bliver en kastebold mellem myndigheder og instanser. Det må være op til de virksomheder, der driver bank- og betalingsforretninger, at stå ved et samlet ansvar over for kunden og den almindelige borger.

Nordea Danmark har anført, at transaktionen på 1.764,90 EUR er korrekt gennemført og bogført og i øvrigt ikke er fejlbehæftet.

Udskriften fra Nets viser, at klageren via MitID-app blev præsenteret for teksten ”Betal 1.764,90 EUR til [F] fra kort [-558]”, hvorfor der ikke kan være tvivl om, at klageren godkendte betalingen på netop dette beløb.

Klageren godkendte selv transaktionen i sin MitID-app, hvor hun blev præsenteret for en tekst, som tydeligt angav, hvilket beløb og hvilken betalingsmodtager denne angik.

Til trods herfor valgte klageren at godkende gennemførelsen heraf, hvilket er groft uforsvarlig adfærd, jf. betalingslovens § 100, stk. 4, nr. 3, hvorfor banken var berettiget til at opkræve 8.000 DKK i selvrisiko fra klageren.

I øvrigt kunne banken ikke tilbagekalde transaktionen, når først klageren har godkendt denne, jf. også punkt 3.1. i bankens Regler for Dankort og Visa/Dankort.

Det følger af Ankenævnets praksis, at hverken det disponible beløb på kontoen eller et aftalt kreditmaksimum udgør en absolut hæftelsesbegrænsning i klagerens hæftelse i henhold til betalingslovens § 100. Se til eksempel afgørelse nr. 293/2013 og nr. 132/2018.

Klageren kan ikke støtte ret på kortreglernes punkt 7.2, da klageren ikke selv har indgået og autoriseret aftale om køb af varer hos det pågældende firma, hvor beløbet er trukket, jf. betalingslovens § 112. Forholdet i denne sag er alene omfattet af betalingslovens § 100, da der er tale om en uautoriseret transaktion.

Banken har ikke mulighed for at få oplyst, hvem den reelle modtager af beløbet er.

Klageren henvises til at rette henvendelse til MitID i relation til klagerens påstand om sikkerhedsbrud hos MitID, da dette ikke vedrører banken.

Ankenævnets bemærkninger

Den 5. januar 2023 blev der med klagerens betalingskort gennemført en betaling på 1.764,90 EUR, svarende til 13.258,08 DKK, fra klagerens konto i Nordea Danmark til en betalingsmodtager, F.

Kortbetalingen blev bogført på klagerens konto den 11. januar 2023, hvorefter saldoen på kontoen udgjorde -10.020,13 DKK. Betalingen medførte, at kreditmaksimum på klagerens konto, der udgjorde 1.000 DKK, blev overskredet.

Klageren har anført, at hun ikke godkendte betalingen på 1.764,90 EUR.

Banken har oplyst, at den omtvistede betaling med klagerens betalingskort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse med klagerens MitID. Af en udskrift fra Nets fremgår, at følgende tekst blev sendt til klagerens MitID: ”Betal 1.764,90 EUR til [F] fra kort [-558]”.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder endvidere, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Klageren har anført, at hun ikke godkendte en betaling på 1.764,90 EUR. Banken har anført, at betalingen til betalingsmodtager F blev foretaget af klageren, idet betalingen blev gennemført ved brug af hendes MitID.

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter med op til 8.000 DKK, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.