Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i MitID.

Sagsnummer: 172/2024
Dato: 21-10-2024
Ankenævn: Vibeke Rønne, Janni Visted Hansen, Karin Sønderbæk, Rolf Høymann Olsen og Ann-Mari Agerlin.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Ledetekst: Indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i MitID.
Indklagede: Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor hun havde et Visa/dankort -6825.

Den 1. februar 2024 blev der med klagerens Visa/dankort iværksat en kortbetaling på 14.985 kr. til en betalingsmodtager, N. Klageren kan ikke vedkende sig betalingen.

Banken har oplyst, at betalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app -2428, som var installeret på klagerens telefon den 16. november 2022.

Banken har fremlagt en udskrift fra sit system med teksten, der blev sendt til MitID-app i forbindelse med godkendelsen betalingen. Af teksten fremgik:

”Betal 14985,00 DKK til [N] fra kort xx6825.”

Banken har oplyst, at transaktionen var korrekt registreret og bogført.

Om baggrunden for transaktionen har klageren oplyst, at hun modtog en SMS, der så ud til at være fra MitID, med information om, at hun skulle opdatere sine oplysninger for at undgå midlertidig suspendering ved at trykke på et link, udfylde sine oplysninger og godkende med MitID.

Den 15. februar 2024 blev betalingen bogført med 14.813 kr. på klagerens konto.

Den 16. februar 2024 gjorde klageren indsigelse mod betalingen på 14.813 kr. overfor banken. I forbindelse med indsigelsen anførte klageren:

”… Jeg trykkede på linket på sms og gav dem først kort oplysninger også de 3 tal bagpå. Det skulle godkendes med mitid derefter mit navn, min adresse, mit cpr nr, alt ... også det godkendte jeg med mitid jeg er næsten hel sikker på der ikke har stået noget beløb på min mobil, jeg gav dem mine oplysninger da det jo ellers ville stoppe med at virke. …”

Banken godtgjorde klagerens tab fratrukket 8.000 kr.

Klageren anmeldte endvidere sagen til politiet.

Parternes påstande

Den 14. marts 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal tilbageføre 8.000 kr. til hende.

Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har blandt andet anført, at hun lige var blevet raskmeldt efter fem måneders sygdom, da hun modtog en SMS om, at hun skulle opdatere sine personlige oplysninger, da MitID ellers ville stoppe med at fungere. Hun trykkede på linket i SMS’en. Først ville de have hendes kortnummer og de tre tal på bagsiden – dette godkendte hun med MitID. Der stod ikke noget beløb. Derefter ville de have hendes adresse og personnummer, som også skulle godkendes med MitID, hvilket hun gjorde. Der stod ikke noget beløb. Da hun havde gjort det, vidste hun med det samme, at hun var blevet snydt. Hun ringede hun til MitID, som lukkede hendes MitID og sagde, at hun skulle holde øje med sin netbank de næste dage. Hun ringede også til banken, der lukkede hendes Visa/dankort og sagde, at svindlerne endnu ikke havde hævet nogen penge.

Præcis 14 dage efter var hendes konto i minus og lukket. Hun dummede sig, men var i god tro, da hun gav sine personlige informationer. Hun klager over, at banken ikke lukkede hendes konto med det samme og fik stoppet betalingen, der først blev gennemført to uger efter. Banken burde passe på kundernes penge. Hun er den eneste, der aktivt prøvede at stoppe tyvene. Banken skulle have rådet hende til at lukke sin konto straks og ikke bare gå og vente på, at tyven tømte den.

Danske Bank har til støtte for frifindelsespåstanden anført, at transaktionen er korrekt registreret og bogført.

Korttransaktionen er autoriseret med klagerens MitID-app og dermed godkendt med stærk kundeautentifikation (to-faktor-autentifikation). MitID-app’en var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen. På den baggrund må det lægges til grund, at klageren selv autoriserede betalingen, omend uforvarende.

Klageren videregav selv sine kortoplysninger til tredjemand, hvilket muliggjorde betalingsanmodningen. Det fremgik af godkendelsesteksten i klagerens MitID-app, at betalingsmodtageren var N, og at beløbet på 14.985 kr. ville blive trukket på klagerens betalingskort. Det måtte være klart for klageren, at hun var ved at foretage en betaling på det pågældende beløb til en ukendt modtager.

Klageren befandt sig ikke i en presset situation i forbindelse med udleveringen af sine kortoplysninger og efterfølgende godkendelse af betalingen. Klageren muliggjorde således ved groft uforsvarlig adfærd betalingen, hvorfor klageren hæfter med 8.000 kr. i henhold til betalingslovens § 100, stk. 4.

Banken har godtgjort klageren den del af beløbet, der overstiger 8.000 kr., og banken har i øvrigt ikke har handlet ansvarspådragende.

Banken havde ikke mulighed for at stoppe denne betaling, idet betalingen blev godkendt med MitID. Banken kan ikke tilbagekalde en betaling efter, at instruksen om betalingen er modtaget af banken, jf. betalingslovens § 111, stk. 1.

Til støtte for afvisningspåstanden gøres det gældende, at klagerens påstand om, at hun ikke har godkendt beløbet, ikke hænger sammen med bankens oplysninger om, at korttransaktionen er autoriseret med klagerens MitID-app og dermed godkendt med stærk kundeautentifikation, samt at klageren blev præsenteret for både beløbsmodtager og beløb i MitID-app’en, som var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen. En vurdering af sagen vil derfor kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. vedtægternes § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Danske Bank, hvor hun havde et Visa/dankort -6825.

Den 1. februar 2024 blev der med klagerens Visa/dankort iværksat en kortbetaling på 14.985 kr. til en betalingsmodtager, N. Klageren kan ikke vedkende sig betalingen.

Om baggrunden for transaktionen har klageren oplyst, at hun modtog en SMS, der så ud til at være fra MitID, med information om, at hun skulle opdatere sine oplysninger for at undgå midlertidig suspendering ved at trykke på et link og udfylde sine oplysninger. Hun trykkede på linket, afgav kortoplysninger og godkendte med MitID. Der stod ikke noget beløb.

Banken har dækket klagerens tab med fradrag af 8.000 kr.

Banken har anført, at klageren selv godkendte betalingen i sin MitID-app, hvor der fremgik følgende tekst: ”Betal 14985,00 DKK til [N] fra kort xx6825.”

Den 15. februar 2024 blev betalingen bogført med 14.813 kr. på klagerens konto.

Det lægges til grund, at transaktionen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter den var godkendt, uanset tidspunktet for den efterfølgende spærring af kortet, en eventuel lukning af klagerens konto og debitering af beløbet på klagerens konto.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Vibeke Rønne, Janni Visted Hansen og Karin Sønderbæk – udtaler:

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen til N i sin MitID-app.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID-appen, hvor hun fik oplysning om beløbet på 14.985 kr. og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Rolf Høymann Olsen og Ann-Mari Agerlin – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel.

Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren med 375 kr., jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.625 kr. til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i sagen.