Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af en smishing-SMS

Sagsnummer: 507/2022
Dato: 31-05-2023
Ankenævn: Bo Østergaard, Karin Duerlund, Andreas Moll Årsnes, Morten Bruun Pedersen og Jørn Ravn.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af en smishing-SMS
Indklagede: Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af en smishing-SMS.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor hun blandt andet havde en konto og et betalingskort (-094).

Den 12. november 2022 blev der foretaget en betaling på 1.519,42 EUR svarende til 11.304,37 DKK til en udenlandsk betalingsmodtager A, som blev gennemført med klagerens betalingskort. Klageren kunne ikke vedkende sig denne betaling.

Banken har oplyst, at betalingen med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i klagerens MitID-app, og har fremlagt en udskrift fra Modirum, som er en underleverandør til NETS, hvoraf det fremgår, at følgende tekst blev sendt til klagerens MitID-app:

”Betal 1519,42 EUR til [A].ES fra kort xx8094.”

Banken har herudover fremlagt procesdetaljer fra Modirum, hvoraf det blandt andet fremgår:

”…

Purchase Amount                                     1519.42 (EUR)

Authentication Status                              01 – Fully authenticated

Authentication Method                             Nets Dynamic Authentication (288) / MitID (071)

IP Address                                                 [XXX.XX.XXX.58]

IP Country                                                  MA (MOROCCO)

…”

Banken har herudover fremlagt en udskrift af klagerens aktive identifikationsmidler fra MitID-portalen, hvoraf det blandt andet fremgår:

”…

Aktive identifikationsmidler

Type                       Model                           Oprettet    Opdateret

App (iOS-15.6.1)    iPhone 12 mini            02-02-2022   15-11-2022

[X-XXXX-XXXX-X340]

…”

Samme dag indgav klageren en indsigelse, hvoraf det fremgik:

”…

Indsigelsesårsag / Dispute reason

Jeg har ikke foretaget følgende transaktion(er). / I have neither engaged in nor authorised the following transaction(s).

Ikke-godkendte transaktioner / Disputed transactions

12-11-2022 [A] 1.519,42 EUR 11.304,37 DKK

Kortet var i min besiddelse på tidspunktet for den eller de ikke-godkendte transaktion(er): / The card was in my possession at

the time of the disputed transaction(s):

X Ja / Yes Nej / No

Tro- og love erklæring / Customer affidavit

På tro og love erklærer jeg, at oplysningerne er korrekte. Hvis politiet efterforsker sagen, er jeg indforstået med, at banken giver politiet de oplysninger, de har brug for i forbindelse med sagen. / I solemnly declare that the information is correct. If the case is investigated by the police, I hereby consent to the Bank providing the police with any information they may require in connection with the case.

Jeg, [klager], attesterer herved, at jeg ikke har godkendt eller deltaget i ovennævnte transaktion.

…”

Den 16. november 2022 svarede banken klageren, at hun selv hæftede for 8.000 DKK for transaktionen på 11.304,37 DKK, da hun muliggjorde betalingen ved blandt andet at godkende den i sin personlige MitID-app, som var installeret på hendes mobiltelefon. Banken godtgjorde herefter klageren 3.304,37 DKK.

Den 5. december 2022 indbragte klageren sagen for Ankenævnet.

Klageren har samme dag oplyst:

”…

Mit visakort blev misbrugt d. 12. november 2022. Jeg ændrede mit MitID brugerid d. 11. nov. og modtog dagen efter en sms med nedenstående ordlyd."Din Online MitID-betaling er blevet deaktiveret fra dit kreditkortnr. Du skal opdatere dine oplysninger: https://mitidnetapp.web.appI det øjeblik var jeg sikker på, det havde noget at gøre med min ændring af mit MitID brugerid. Jeg er sygemeldt […] og vil normalt aldrig indtaste mine kortoplysninger via et link i en sms eller mail. Allerede få sekunder efter handlingen vidste jeg, at jeg var blevet udsat for Fishing og spærrede mit kort med det samme.

…”

Parternes påstande

Klageren har nedlagt påstand om, at Danske Bank skal tilbageføre hele beløbet til hende.

Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hun er blevet fuppet og udsat for phishing.

Hun var sygemeldt og ville normalt aldrig indtaste sine kortoplysninger via et link i en SMS eller e-mail. Hun blev aldrig præsenteret for den oplyste tekst i sin MitID-app. Hun kan ikke huske at have godkendt en betaling via MitID-appen og er herudover 99,9 % procent sikker på, at hun ikke har gjort det.

Allerede få sekunder efter handlingen vidste hun, at hun var blevet udsat for phishing og spærrede sit kort med det samme. Hun gjorde herudover alt, hvad banken havde bedt hende om. Hun lavede en ny servicekode til mobilbanken, ændrede sit brugernavn og kodeord til MitID og bestilte et nyt betalingskort.

Hun og hendes mand er trofaste kunder i banken, som ikke kræver meget af banken. En afgørelse under disse omstændigheder, om at hun skulle betale en selvrisiko på 8.000 DKK, er utrolig hård.

Danske Bank har til støtte for frifindelsespåstanden anført, at det var klageren selv, der videregav sine kortoplysninger til tredjemand, der muliggjorde betalingsanmodningen. Klageren befandt sig ikke i en presset situation ved udleveringen af sine kortoplysninger, idet hun tilgik et link i en SMS fra det ukendte afsendernummer 545421.

Transaktionen klageren har gjort indsigelse mod er korrekt registeret og bogført. Den er autoriseret med klagerens MitID-app og dermed godkendt med stærk kundeautentifikation.

MitID-appen var installeret på klagerens telefonen, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen. Klageren autoriserede selv betalingen, omend uforvarende. Det fremgik af godkendelsesteksten i klagerens MitID-app, at betalingsmodtageren var A, og at beløbet på 1.519,42 EUR ville blive trukket på hendes betalingskort. Det måtte være klart for klageren, at hun var ved at foretage en betaling på til en ukendt modtager, hvorfor hun hæfter med 8.000 DKK, jf. betalingslovens § 100, stk. 4.

Banken har godtgjort klageren den del af beløbet, der overstiger 8.000 DKK og har i øvrigt ikke handlet ansvarspådragende.

Banken har til støtte for afvisningspåstanden anført, at klagerens påstand om, at hun ikke foretog betalingen, ikke hænger sammen med det faktiske hændelsesforløb, herunder at betalingen blev autoriseret med klagerens MitID-app, som var installeret på hendes telefon, som var i hendes besiddelse på tidspunktet for godkendelse af betalingen, og at en vurdering af sagen derfor vil kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. vedtægternes § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Danske Bank, hvor hun blandt andet havde en konto og et betalingskort (-094).

Den 12. november 2022 blev der foretaget en betaling på 1.519,42 EUR svarende til 11.304,37 DKK til en udenlandsk betalingsmodtager A, som blev gennemført med klagerens betalingskort. Klageren kunne ikke vedkende sig denne betaling.

Klageren har oplyst, at hun havde modtaget en SMS, hvori hun blev anmodet om at opdatere sine MitID-oplysninger via et link, som hun tilgik. Klageren har anført, at hun ikke kunne huske at have godkendt en betaling via MitID-appen, og at hun var sikker på, at hun ikke havde gjort det. Allerede få sekunder efter handlingen vidste hun, at hun var blevet udsat for phishing og spærrede sit kort med det samme.

Klageren gjorde indsigelse mod transaktionen over for banken, der godtgjorde klageren 3.304,37 DKK, svarende til det betalte beløb fratrukket 8.000 DKK.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautenti-fiktion, jf. betalingslovens § 7, nr. 30.

Det fremgår af procesdetaljerne fremlagt af banken, at transaktionen blev foretaget fra en IP-adresse i Marokko. Klageren har oplyst, at hun ikke godkendte transaktionen.

Ankenævnet finder, at en afklaring af sagens nærmere omstændigheder, herunder om klageren ved groft uforsvarlig adfærd muliggjorde transaktionen og dermed hæfter med 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3, forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.