Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 kr. af korttransaktion. Aktivering/indrullering af MitID-app på svindlers enhed.

Sagsnummer: 435 /2023
Dato: 06-02-2024
Ankenævn: Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen, Mette Lindekvist Højsgaard, Tina Thygesen og Elizabeth Bonde
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 kr. af korttransaktion. Aktivering/indrullering af MitID-app på svindlers enhed.
Indklagede: Ringkjøbing Landbobank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktion.

Sagens omstændigheder

Klageren var kunde i Ringkjøbing Landbobank, hvor han havde et betalingskort.

Den 15. maj 2023 kl. 17:28 blev der foretaget en korttransaktion på 10.000 kr. til en betalingsmodtager, BC, som klageren ikke kan vedkende sig.

Om baggrunden for transaktionen har klageren oplyst, at han forinden havde modtaget en SMS fra MobilePay om hvidvaskloven. Klageren har fremlagt et skærmprint af SMS’en, hvoraf det fremgik:

”MobilePay-brugere er forpligtet til at overholde hvidvasklovgivningen.

Undgå at få din konto lukket ved at bekræfte dine oplysninger på opdatermobile.com

Klageren har oplyst, at han åbnede link i SMS’en med MitID, men tænkte, at der var tale om en svindel-SMS og lukkede siden ned. En time derefter blev han kontaktet af en person, P. P udgav sig for at være fra Nordjyske Bank (nu Ringkjøbing Landbobank) og sagde, at han (klageren) var ved at blive hacket. P bad ham lave hans MitID om, hvilket han gjorde. P sagde, at MitID skulle laves om hurtigst muligt, idet der ellers blev trukket 3.500 kr. fra udlandet. Derefter havde P nogle spørgsmål, hvor han (klageren) fik mistanke om, at P var ved at svindle ham. Han lagde på, ringede til MitID support og fik spærret sit MitID med det samme. Han fik endvidere spærret sine kort hos banken.

Banken har oplyst, at betalingen blev godkendt i klagerens MitID-app med serienummer -5189, som var installeret den 15. maj 2023, og at betalingen var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.

Klageren gjorde indsigelse mod transaktionen over for banken. I indsigelsesblanketten anførte klageren blandt andet:

”… Jeg blev svindle[t] over en besked fra mobilpay. Som stjal min oplysninger via mit id jeg stoppe[de] lige efter jeg ha[vde] logge[t] ind da det lugte[de] af svindel. Der gik en time og jeg blev ringe[t] op af en dansk mand der udgav sig for [at] være fra min bank. Og at han kun[ne]  se der var en fra Holland der har prøve[t] [at] hæve 3500kr fra min konto[r] og det sku vi self ha stoppe[t]. Hvor efter han beder mig om og log på min mobilbank for og se om de var trukket. Der kommer nøjagtig samme vente tone som min bank da han beder mig om af vente. Jeg kan ikke se der er hævet noget og så siger han jeg bliver nød til og lave min kode om til mit id og når det er gjordt vil han ring mig op igen. Det gør jeg så og der fatter jeg mistanke og skynder mig og ringe ind til mit id og få spæ[rre]t alt. …”

Banken godtgjorde klageren tabet fratrukket 8.000 kr.

Banken har fremlagt en udskrift fra klagerens MitID log. Det fremgår heraf, at der den 15. maj 2023 var registreret to MitID-apps tilknyttet klagerens MitID: nr. -6513 (aktiveret på iPhone 11 den 9. marts 2022 og spærret den 16. maj 2023) samt nr. -5189 (aktiveret på iPhone 12 den 15. maj 2023 og spærret den 16. maj 2023). Der fremgår endvidere blandt andet følgende aktiviteter den 15. maj 2023:

Tidspunkt

Hændelse

16:05

App – autentificering lykkedes

MitID identifikationsmiddel-ID: …-6513

17:08

App – autentificering lykkedes

MitID identifikationsmiddel-ID: …-6513

17:08

Aktiveringskode – til ny MitID app oprettet

17:09

Aktiveringskode – til ny MitID app valideret

17:09

Midlertidig PIN-kode – til MitID app sendt på SMS

17:10

Midlertidig PIN-kode – til MitID app valideret

17:10

App – ny MitID app aktiveret

MitID identifikationsmiddel-ID: …-5189

Banken har oplyst, at det på baggrund af klagerens MitID log kan konstateres, at der den 15. maj 2023 med klagerens MitID-identifikationsmiddel med serienummer -6513 blev godkendt oprettelse af endnu et MitID-identifikationsmiddel med serienummer -5189. Et MitID identifikationsmiddel (et MitID identifikationsmiddel med et specifikt serienummer) kan kun være installeret på én enhed. Ved en godkendelsesprocedure skal der altid foretages en fysisk swipe-bevægelse på den enhed, som godkendelsen er sendt til.

Banken har oplyst, at der den 15. maj 2023 kl. 16:05 blev givet adgang til log ind på klagerens MitID, og at der i den forbindelse med klagerens MitID-identifikations-middel/MitID-app nr. -6513 blev swipet til/godkendt følgende: ”Log på Mit-ID.dk for at se eller ændre i din MitID profil”. Der blev anmodet om oprettelse af et nyt MitID-identifikationsmiddel, og der blev i den forbindelse sendt en notifikations-SMS fra Mit-ID til klagerens registrerede telefonnummer med følgende ordlyd:

”Du har bedt om adgang til at ændre oplysninger på MitID. dk og kan logge på om 1 time.

Har du ikke bedt om adgang? Ring til MitID support + 45 33980010.”

Banken har endvidere oplyst, at der den 15. maj 2023 kl. 17:06 blev sendt endnu en notifikations-SMS fra MitID med følgende ordlyd:

”Du har nu adgang til at logge på MitID.dk og ændre oplysninger i 24 timer.

Har du ikke bedt om adgang? Ring til MitID support + 45 33980010.”

Banken har endvidere oplyst, at der med klagerens MitID-app nr. -6513 den 15. maj 2023 kl. 17:08 blev swipet til/godkendt følgende: ”Log på MitID.dk for at se eller ændre i din MitID profil”, at der blev sendt en SMS-kode til klagerens registrerede telefonnummer hos MitID, og at der på dette tidspunkt ikke var sket en ændring af det hos MitID registrerede telefonnummer. Banken har endvidere oplyst, at koden blev indtastet samme dag kl. 17:09, hvorefter et nyt MitID-identifikationsmiddel med serienummer -5189 var aktiveret 17:10. Banken har oplyst, at SMS’en udover koden indeholdt følgende tekst:

”… VIGTIGT! Del aldrig denne kode med andre. Heller ikke med en som påstår at komme fra banken eller supporten”

Parternes påstande

Den 20. juli 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Ringkjøbing Landbobank skal godtgøre ham de resterende 8.000 kr.

Ringkjøbing Landbobank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har blandt andet anført, at han ikke på noget tidspunkt handlede i ond tro.

P udgav sig for at være fra bankens sikkerhedsafdeling. P ringede fra et dansk nummer med bankens ventetone og talte ”pæredansk”. Hvordan skulle han vide fra starten, at P svindlede ham?

P stressede ham ved at sige, at MitID skulle laves om hurtigst mulig, ellers blev der trukket 3.500 kr. fra udlandet. P forsikrede ham om, at P kunne nå at stoppe trækningen, hvis de gjorde det hurtigst muligt.

Han har ikke på noget tidspunkt videregivet sit kontonummer, kortnummer eller andre former for bankoplysninger.

I nyheder og medier er der meget fokus på, hvor nemt det er for svindlere at få adgang via MitID. Sikkerhedsbruddet ligger derfor hos banken og MitID. Efter det her er sket, har det i flere nyhedsmedier været anført, at MitID skal gøres mere sikkert for forbrugerne.

Han forstår ikke, hvordan en privatperson kan sende anmodninger fra MitID, som burde være et sikkert system. Der burde være et sikkerhedssystem, der gør, at butikker og e-handel bliver godkendt til at kunne sende MitID rundt og ikke, at en hvilken som helst anden privatperson kan gøre det. Der må vel være en kontrol med det. Hvor har P navnet på hans bank og hans konto oplysninger fra, hvis det er et sikkert system?

Hans bankrådgiver har oplyst, at en ansat i banken er blevet fanget i det samme nummer som ham. Banken har i sit svar til ham anført, at banken ikke telefonisk vil bede en kunde godkende handlinger. Dette modsiger, hvad han fik at vide af sin bankrådgiver, som har oplyst, at hvis der var ved at blive trukket mange penge fra hans konto, vil rådgiveren ringe direkte til ham. P udgav sig for at være fra bankens sikkerhedsafdeling. P sagde, at der var ved at blive trukket mange penge på hans konto. Han troede på det af P oplyste. Han ved ikke, hvornår hans bankrådgiver holder fri/er syg. Han gik derfor ud fra, at det var en fra sikkerhedsafdelingen, der ringede til ham.

Ringkjøbing Landbobank har til støtte for frifindelsespåstanden anført, at betaleren efter betalingslovens § 100, stk. 4, hæfter med op til 8.000 kr. af tabet, blandt andet hvis en betaler ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Transaktionen, som der er gjort indsigelse imod, blev godkendt med et MitID identifikationsmiddel, hvis oprettelse er blevet godkendt af klageren.

Ved godkendelsen af et nyt MitID identifikationsmiddel udviste klageren groft uforsvarlig adfærd, som muliggjorde gennemførsel af transaktionen, som klageren har gjort indsigelse imod. Banken var derfor berettiget til at vurdere, at klageren selv hæfter med 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 3. 

Det nye MitID identifikationsmiddel -5189 blev installeret med indtastning af klagerens personlige bruger-ID, indtastning af unik SMS-pinkode, som blev sendt til telefonnummeret tilknyttet klagerens MitID samt to godkendelser via klagerens MitID identifikationsmiddel -6513 med minimum en times mellemrum. Godkendelsesanmodningen blev sendt til en enhed, hvor klagerens MitID identifikationsmiddel med serienummeret -6513 var installeret. Et MitID identifikationsmiddel med et specifikt serienummer kan kun være installeret på én enhed. Ved en godkendelsesprocedure skal der altid foretages en fysisk swipe-bevægelse på den enhed, som godkendelsen er sendt til. En sådan fysisk swipe-bevægelse kan ikke foretages fra en anden enhed end den, som godkendelsesanmodningen er sendt til, ligesom en fysisk swipe-bevægelse/godkendelsesanmodning ikke kan fjerngennemføres. Det kan derfor kun være klageren selv, der foretog en fysisk swipebevægelse ved godkendelse af oprettelse af et nyt MitID identifikationsmiddel.

Både inden og efter oprettelsen af et nyt MitID identifikationsmiddel blev der sendt en notifikations-SMS herom til klagerens registrerede telefonnummer hos MitID.

Der blev sendt en unik SMS-pinkode til klagerens registrerede telefonnummer hos MitID. Der blev enten foretaget indtastning eller videregivelse af koden. Af den fremsendte SMS med pinkode fremgik meget præcist og tydeligt: "VIGTIGT! Del aldrig denne kode med andre. Heller ikke med en som påstår at komme fra banken eller supporten".

Linket, som fremgik af SMS sendt til klageren, fremstod på ingen måde som et link fremsendt i en SMS fra MobilePay.

Banken har aldrig påstået, at klageren skulle være i ond tro, men at klageren har udvist groft uforsvarlig adfærd.

Ringkjøbing Landbobank har til støtte for afvisningspåstanden anført, at stillingtagen til klagen forudsætter en yderligere bevisførelse i form af parts- og vidneafhøringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, hvorfor sagen bør afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Den 15. maj 2023 blev klagerens betalingskort anvendt til en transaktion på 10.000 kr. til en betalingsmodtager, BC, som klageren ikke kan vedkende sig.

Banken har dækket klagerens tab med fradrag af 8.000 kr.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Klageren har anført, at han modtog en SMS fra MobilePay om hvidvaskloven med et link, som han åbnede med MitID, men at han tænkte, at der var tale om en svindel-SMS og lukkede siden ned. Han videregav ikke sit kontonummer, kortnummer eller andre former for bankoplysninger. Han blev efterfølgende ringet op af en person, der udgav sig for at være fra banken og sagde, at han (klageren) var ved at blive hacket. P bad ham lave hans MitID om, hvilket han gjorde.

Banken har anført, at klageren i sin MitID-app nr. -6513 godkendte aktiveringen af en ny MitID-app på tredjemands enhed, og at klageren enten indtastede eller videregav en unik SMS-pinkode, der blev sendt til hans registrerede telefonnummer hos MitID, hvorved han ved groft uforsvarlig adfærd muliggjorde gennemførslen af den ikke vedkendte transaktion.

Ankenævnet finder, at en afklaring af de nærmere omstændigheder omkring aktiveringen af MitID-appen på tredjemands enhed herunder om hvordan SMS-koden kom tredjemand i hænde forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.