Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 kr. af korttransaktion. Aktivering/indrullering af NemID-app på svindlers enhed.

Sagsnummer: 65 /2023
Dato: 06-02-2024
Ankenævn: Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen, Mette Lindekvist Højsgaard, Tina Thygesen og Elizabeth Bonde.
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 kr. af korttransaktion. Aktivering/indrullering af NemID-app på svindlers enhed.
Indklagede: Lån & Spar Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion.

Sagens omstændigheder

Klageren var kunde i Lån & Spar Bank, hvor hun havde et betalingskort.

Den 20. oktober 2022 kl. 21:06 blev klagerens betalingskort anvendt til en betaling på 1.897,35 USD svarende til 14.687,94 DKK, som klageren ikke kan vedkende sig. Betalingen blev bogført på klagerens konto den 24. oktober 2022.

Banken har oplyst, at betalingen var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1, og at betalingen blev gennemført med sikkerhedsløsningen 3D Secure ved indtastning af kortoplysninger og godkendt med NemID/indtastning af klagerens personlige kode i en NemID-nøgleapp nr. -3964, som var oprettet samme dag kl. 20:34 på en svindlers enhed.

Klageren gjorde indsigelse mod transaktionen overfor banken, der godtgjorde klageren tabet fratrukket 8.000 DKK. I indsigelsesblanketten anførte klageren blandt andet:

”… Mellem torsdag d. 20. og fredag d. 21. oktober 2022 var jeg udsat for svindel og identitetsrøveri i forbindelse med salg af varer på Den Blå Avis. Svindlerne kontaktede mig via WhatsApp og virkede meget virkelighedstro, men fik desværre franarret mig mine oplysninger til både VISA kort, NemID og MitID. Selvom jeg via min bank hurtigt fik spærret for alle tre kort/adgange, lykkedes det alligevel svindlerne at misbruge mit kort og hæve 1.897,35 USD. …

Er du på noget tidspunkt blevet kontaktet og bedt om at bekræfte/oplyse dit betalingskort eller dine personlige oplysninger? …

Ja, på SMS …”

Klageren og banken har fremlagt uddrag/skærmprints fra klagerens NemID log. Det fremgår heraf, at der den 20. oktober 2022 var oprettet følgende NemID-nøgleapp tilknyttet klagerens NemID: NemID-nøgleapp nr. -4435 oprettet den 6. januar 2021 på en iPhone 13 (eksisterende NemID-nøgleapp nr. -4435) og NemID-nøgleapp nr. -3964 oprettet den 20. oktober 2022 på en Android telefon. Der var herudover på ikke oplyste datoer oprettet NemID-nøgleapp nr. -2076 på iPhone 8, NemID-nøgleapp nr. -1741 på iPhone 14 og NemID-nøgleapp nr. -0273 på iPhone 13 (aktiv) tilknyttet klagerens NemID. Klokken 19:28 blev der sendt en notifikation til NemID-nøgleapp nr. -4435, som blev accepteret i NemID-nøgleapp nr. -4435. Der blev derefter kl. 19:29 installeret en NemID-nøgleapp med serienummer -3964 på Android. Aktiveringen af NemID-nøgleapp nr. -3964 startede kl. 20:33. Klokken 20:34 blev der sendt en notifikation til NemID-nøgleapp nr. -4435 og til NemID-nøgleapp nr. -2076.  Transaktionen blev accepteret i NemID-nøgleapp nr. -4435 kl. 20:34, og derefter var NemID-nøgleapp nr. -3964 aktiveret på svindlerens Android enhed 20. oktober 2022 kl. 20:34.

Banken har oplyst, at klageren på sin enhed swipede godkend til følgende meddelelser i sin NemID-nøgleapp nr. -4435 i forbindelse med installation og aktivering af NemID-nøgleapp på svindlerens Android enhed:

”… WWW.NEMID.NU

Godkend følgende?

Handling hos www.nem.id.nu”

Der fremkom derefter følgende meddelelse:

”Din nøgleapp gøres klar

Af sikkerhedsmæssige årsager kan din nøgleapp først tages i brug efter 1 time ..

Du får en meddelelse, når nøgleappen er klar. …”

Banken har oplyst, at klageren den 20. oktober 2022 kl. 20:34 på sin enhed fik meddelelse om, at ”Din nøgleapp er klar”.

Klageren har bestridt, at hun modtog de ovenstående meddelelser. 

Banken har fremlagt eksempler på advarsler mod it-svindel fra bankens og PostNords hjemmeside.

Parternes påstande

Den 22. januar 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Lån & Spar Bank skal godtgøre hende de resterende 8.000 DKK, subsidiært et mindre beløb.

Lån & Spar Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har blandt andet anført, at hun har været udsat for identitetstyveri.

Hun har ikke handlet groft uagtsomt i forhold til videregivelse af personlige data. Hun forsøgte at logge på en løsning med NemID. Der er ikke synlig forskel mellem en almindelig godkendelsesprocedure med MitID/NemID, som da hun indgav klagen til Ankenævnet og den, svindlerne anvendte i sagen. Hun var ikke bekendt med, at der blev oprettet et NemID på en anden (svindlerens) enhed, og at hun, når hun i god tro godkendte via NemID-nøgleapp’en, reelt godkendt svindlerens adgang til hendes NemID. En almindelig bruger har ekstremt svært ved at gennemskue, at de notifikationer, man får fra de efterhånden meget professionelle svindlere, reelt giver dem adgang til ens konto via NemID.

Banken henviser til, at der er blevet sendt en notifikation til hendes enhed (-4435). Det fremgik på ingen måde af denne notifikation, at hun var i gang med at give svindleren adgang til sit NemID.

Banken har i sit svar henvist til nogle skærmbilleder, som hun ikke har set tidligere i forbindelse med svindlen. Såfremt hun havde set url’en ”www.nemid.nu”, ville hun ikke have godkendt nogen notifikation. Den url er åbenlyst fejlagtigt og har været advaret så meget imod, at de fleste ville gennemskue, at der var noget galt. Hun blev ikke gjort bekendt med, at hun var i gang med at godkende noget, som skulle gøre det muligt for svindleren at oprette nøgleapp’en på sin egen enhed.

Det er ganske enkelt uacceptabelt og helt ude af proportioner, at banken udstiller hende som en person, der handler groft uagtsomt. Det kan aldrig været groft uagtsomt at blive snydt. Man vil aldrig udlevere koden, hvis ikke man var gået i en fælde. Hun havde ikke til hensigt at gøre noget forkert og har heller ingen historik, der tilsiger det. Straks da hun fik en SMS fra banken med en meddelelse om, at den havde spærret hendes kort, kontaktede hun banken og efterfølgende politiet og Digitaliseringsstyrelsen for rådgivning. Hun forstår ikke, at banken ikke formåede at standse den transaktion, som banken selv fandt mistænkelig.

Selvrisikoen på 8.000 DKK er svimlende høj og står på ingen måde på mål med, at hun hurtigt spærrede sin konto, oprettede politianmeldelse, fik spærret NemID samt MitID, fik opsat kreditadvarsel, mv. Der er i disse år stor fokus på forbrugerbeskyttelse i reguleringen af den finansielle sektor. En selvrisiko på 8.000 DKK har den utilsigtede virkning, at forbrugerne fremadrettet vil bruge færrest mulige af bankens digitale løsninger, der jo kan efterlignes til forveksling.

Det undrer hende, at banken, når hun har mest brug for hjælp, vælger at behandle hende som en dybt kriminel og kalde hendes handling for groft uagtsom. Selv politiet sagde, at hun bestemt ikke skulle slå sig selv i hovedet, da denne type svindlere var ekstremt professionelle.

Der er efterfølgende lavet en masse materiale, der advarer mod denne slags snyd, men svindlen var så professionel udført af svindlerne, at det mildest talt var umuligt at vide, at hun blev svindlet. Afgørelse nr. 435/2022, som banken henviser til er en ganske anden sag fra et andet årstal. Svindlerne har udviklet sig og er blevet langt mere professionelle siden da, hvorfor sagerne ikke kan sammenlignes.

Lån & Spar Bank har til støtte for frifindelsespåstanden anført, at klageren selv muliggjorde transaktionen ved at videregive sine strengt personlige oplysninger som NemID login og kodeord, kortoplysninger – både for og bagside. Klageren var i gang med handel på Den Blå Avis, hvor hun blev kontaktet af en af en ”køber” via kommunikationssystemet WhatsApp. Her blev klageren franarret NemID oplysninger, formentlig via et link, hvor hun ”loggede ind” og oplyste CPR-nummer og kode til sit eget NemID.

Klageren burde have undersøgt det tilsendte link, inden afgivelse af alle sine oplysninger. Der advares imod denne svindelmetode på diverse medier, hjemmesider samt på bankens egen hjemmeside og netbank.

Klageren har ved at videregive sine NemID-oplysninger og kortoplysninger ved groft uforsvarlig adfærd muliggjort transaktionerne, jf. betalingslovens § 100, stk. 4, nr. 3. Klageren hæfter derfor for 8.000 DKK af tabet som følge af transaktionen.

Det fremgår af klagerens NemID log, at klageren med sin eksisterende NemID-nøgleapp nr. -4435 kl. 19:29 på sin egen enhed modtog og godkendte en anmodning om installation af en NemID-nøgleapp på svindlerens enhed og ca. kl. 20:34 modtog og godkendte en anmodning om aktivering af en NemID-nøgleapp på svindlerens enhed. Dette gav svindleren mulighed for at hente NemID ned på sin egen enhed. Det fremgår endvidere af loggen, at flere notifikationer blev sendt til klagerens egen enhed, og at klageren ikke reagerede her på. Advisering via NemID-nøgleapp sendes til alle aktive NemID-nøgleapps tilknyttet til det pågældende NemID.

Forløbet understøtter, at klageren selv medvirkede til at godkende ikke en betaling men en aktivering af ny NemID-nøgleapp, og at klageren har handlet groft uforsvarligt og dermed muliggjorde den uberettigede anvendelse og derfor hæfter med 8.000 DKK i henhold til betalingslovens § 100, stk. 4.

Når en betalingsordre er afgivet og modtaget, kan den ikke tilbagekaldes.

Lån & Spar Bank har til støtte for afvisningspåstanden anført, at det kun vil være muligt at træffe afgørelse i sagen, hvis klageren og eventuelle vidner under strafansvar afgiver mundtlige parts- og vidneforklaringer. Dette kan ikke ske for Ankenævnet, men i givet fald ved domstolene, hvorfor Ankenævnet bør afvise sagen under henvisning til § 5, stk. 3, nr. 4 i Ankenævnets vedtægter.

 

 

Ankenævnets bemærkninger

Den 20. oktober 2022 kl. 21:06 blev klagerens betalingskort anvendt til en betaling på 1.897,35 USD svarende til 14.687,94 DKK til en udenlandsk betalingsmodtager, som klageren ikke kan vedkende sig.

Banken har dækket klagerens tab med fradrag af 8.000 DKK.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionerne, efter de var godkendt, uanset tidspunktet for den efterfølgende spærring af kortet.

Banken har anført, at klageren i sin NemID-nøgleapp nr. -4435 godkendte aktiveringen af en ny NemID-nøgleapp på tredjemands enhed, hvorved klageren ved groft uforsvarlig adfærd muliggjorde gennemførslen af de ikke vedkendte transaktioner. Klageren har anført, at hun ikke har set de skærmbilleder, som banken har anført, at hun godkendte i sin NemID-nøgleapp i forbindelse med svindlen.

Ankenævnet finder, at en afklaring af de nærmere omstændigheder omkring aktiveringen af NemID-nøgleapp’en på tredjemands enhed forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.