Indsigelse mod at hæfte for 8.000 kr. af korttransaktioner gennemført med 3D Secure og godkendt i MitID-nøgleapp. Indrullering af MitID-nøgleapp på svindlerens enhed.
| Sagsnummer: | 327/2023 |
| Dato: | 06-02-2024 |
| Ankenævn: | Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen, Mette Lindekvist Højsgaard, Tina Thygesen og Elizabeth Bonde. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 kr. af korttransaktioner gennemført med 3D Secure og godkendt i MitID-nøgleapp. Indrullering af MitID-nøgleapp på svindlerens enhed. |
| Indklagede: | Arbejdernes Landsbank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktioner gennemført med 3D Secure og godkendt i MitID-nøgleapp. Indrullering af MitID-nøgleapp på svindlerens enhed.
Sagens omstændigheder
Klageren var kunde i Arbejdernes Landsbank, hvor han havde en konto med et tilhørende Visa/Dankort -882.
Den 2. april 2023 blev der med klagerens betalingskort foretaget to betalinger på hver 7.000 kr. til en betalingsmodtager, P, som klageren ikke kan vedkende sig.
Om baggrunden for overførslerne har klageren oplyst, at han havde et køleskab til salg på DBA.dk, og at en person, K, gerne ville købe det og have det tilsendt. K betalte til DAO, og klageren modtog en mail fra DAO, hvori der stod, at K havde betalt beløbet til dem, og at klageren skulle indtaste sit kortnummer, således at beløbet kunne blive indbetalt på hans konto. Dagen efter så han på DBA.dk, at DBA.dk havde lukket for K, da der var mistanke om svindel. K havde oprettet sig med klagerens MitID.
Banken har oplyst, at klageren videregav sine kort- og MitID-oplysninger til svindleren, som efterfølgende installerede klagerens MitID-nøgleapp -3829 på sin egen enhed.
Banken har endvidere oplyst, at MitID-nøgleapp -3829 blev oprettet på en iPhone den 2. april 2023 kl. 20:45. Dette skete ved, at der med klagerens MitID-nøgleapp -5214 den 2. april 2023 kl. 19:29 blev givet adgang til klagerens MitID-profil.
Banken har fremlagt en MitID-hændelseslog, hvoraf det blandt andet fremgår, at MitID-bruger den 2. april 2023 kl. 19:29 blev anmodet om adgang til at ændre i MitID-profil. Den 2. april 2023 kl. 20:29 blev MitID-bruger tildelt adgang til at ændre oplysninger i MitID profil, hvorefter app autentificering lykkedes kl. 20:31 og 20:32, og kl. 20:45 skete godkendelse af indtastet bruger-ID og autentificering lykkedes med MitID identifikationsmiddel-ID -5214, hvorefter der blev godkendt og logget på med MitID og oprettet en aktiveringskode til ny MitID-app.
Det fremgår endvidere, at den 2. april 2023 kl. 21:07 og 21:08 lykkedes autentificering med MitID identifikationsmiddel-ID -3829, og at dette var blevet oprettet den 2. april 2023 kl. 20:45 på en iPhone.
Banken har oplyst, at klageren swipede godkend til følgende tekst:
”Log på hos MitID.dk for at se eller ændre i din MitID profil”.
Banken har vedlagt et eksempel på, hvordan skærmbilledet så ud.
Banken har oplyst, at betalingerne blev verificeret og godkendt med klagerens MitID-oplysninger, herunder med MitID-nøgleapp -3829 på svindlerens telefon.
Banken har endvidere fremlagt en transaktionslog, hvoraf det fremgår, at betalingerne er godkendt med 3D Secure.
Banken har herudover fremlagt Processing Details, hvoraf det blandt andet fremgår, at betalingerne blev godkendt med MitID-app, og at der ved godkendelserne blev sendt tekster til MitID-appen med oplysning om beløb og beløbsmodtager.
Klageren gjorde den 13. april 2023 indsigelse over for banken. I indsigelsesblanketten anførte klageren blandt andet, at andre havde haft adgang til hans kort, at han havde bekræftet sine oplysninger samt andre personlige oplysninger pr. mail eller SMS, at han havde modtaget en mail med et link, hvor han efterfølgende havde indtastet MitID-oplysninger, at oplysningerne, som han videregav, var oplysninger fra MitID-app, at han modtog SMS-bekræftelsesbeskeder, og han skrev følgende om hændelsesforløbet:
”Jeg har et mindre køleskab til salg på DBA.dk. Kunden vil gerne købe det og vil gerne ha det sendt, kunden betaler til Dao som sender mail til mig hvori der står at kunden har betalt beløbet til dem og jeg blot skal indtaste kortnummer så beløbet kan gå ind på min konto. Dagen efter ser jeg på DBA at DBA har lukket for kunden da der er mistanke om svindel. Jeg ser på min netbank at der aftenen før som er d 2. april at der er overført 10000 kr fra min lønkonto til min kort konto. Det har jeg ikke overført. Der er også 2 beløb som er hævet på kortkonto på 7000 kr 2 gange. Der er oplyst firmanavn [P]. PS. Jeg kan oplyse at vedkommende har oprette sig på mitid 2. april, og jeg har derfor lukket mitid.”
Banken tilbageførte beløbet fratrukket 8.000 kr.
Parternes påstande
Den 7. juni 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Arbejdernes Landsbank skal tilbageføre det fulde beløb.
Arbejdernes Landsbank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at banken manipulerer med hans indsigelse ved at påstå, at han var blevet oplyst inden tyveriet. Han havde ingen mistanke om noget mistænkeligt.
Han opdagede først, at der var noget galt, da han så sin konto dagen efter, hvor der var taget 14.000 kr. Her blev han først oplyst om tyveriet, da han her undersøgte sagen og dermed gjorde indsigelse.
Banken påstår, at han har gjort det overlagt, hvilket vil betyde, at der ikke er sket tyveri.
Han er aldrig blevet informeret om en selvrisiko på 8.000 kr. Det er et tyveri fra banken.
Han er blevet oplyst om, at man er dækket for 750.000 kr. ved tyveri i en bank, og at MitID er mere sikkert end NemID. Han går ud fra, at en bank er sikker, og han er tvunget til at have en NemKonto, hvilket man burde tage i betragtning.
Han blev oplyst telefonisk om, at hans selvrisiko ville lyde på 375 kr.
Arbejdernes Landsbank har til støtte for frifindelsespåstanden anført, at klageren hæfter med op til 8.000 kr. af tabet, da klageren ved groft uforsvarlig adfærd muliggjorde den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3, ved at udlevere sine kortoplysninger og samtidig to gange med over en times mellemrum at give svindleren adgang til sin MitID profil.
Klageren forventede, at han skulle bekræfte modtagelsen.
Klageren blev umiddelbart inden præsenteret for teksten: ”Log på hos MitID.dk for at se eller ændre i din MitID profil”.
Klageren burde dermed have indset, at klageren var i gang med at give adgang til sin MitID profil og ikke var i færd med at godkende modtagelsen af en betaling. Der er således ingen sammenhæng mellem at skulle modtage betaling og at logge på MitID.dk for at se eller ændre i sin MitID profil.
Hvis klageren havde læst teksten, forinden klageren godkendte handlingen i MitID, kunne misbruget nemt have været undgået.
Klageren fik lejlighed til at tænke sig om en ekstra gang, da klageren mere end en time senere igen og på tilsvarende vis gav svindleren adgang til sin MitID profil.
De nærmere hæftelses- og ansvarsregler er beskrevet i Bankens brugerregler for Visa/ dankort pkt. 10.
Banken kan i øvrigt ikke genkende klagerens påstand om, at banken telefonisk skulle have stillet klageren i udsigt, at selvrisikoen ”kun” ville blive 375 kr.
Betalingerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.
Til støtte for afvisningspåstanden har banken anført, at en yderligere afklaring af klagerens forsæt og burde-viden vil kræve en parts- og vidneforklaring, som medfører, at sagen ikke er egnet til behandling for Ankenævnet, hvorfor sagen bør afvises.
Ankenævnets bemærkninger
Klageren var kunde i Arbejdernes Landsbank, hvor han havde en konto med tilhørende Visa/Dankort -882.
Den 2. april 2023 blev der med klagerens betalingskort foretaget to betalinger på 7.000 kr. hver til en betalingsmodtager, P, som klageren ikke kan vedkende sig.
I indsigelsesblanketten af 13. april 2023 anførte klageren, at andre havde haft adgang til hans kort, at han bekræftede personlige oplysninger pr. mail eller SMS, at han modtog en mail med et link, at han videregav oplysninger fra MitID-app, og at svindleren havde oprettet sig på MitID.
Banken har anført, at klageren muliggjorde den uberettigede anvendelse ved at udlevere sine kortoplysninger og samtidig to gange med over en times mellemrum at give svindleren adgang til sin MitID profil.
Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet lægger til grund, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket heller ikke er bestridt.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).
Tre medlemmer – Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen og Mette Lindekvist Højsgaard – udtaler:
Vi lægger til grund, at klageren videregav sine personlige kort- og MitID-oplysninger. Vi finder det godtgjort, at klageren den 2. april 2023 godkendte aktiveringen af MitID-nøgleappen på svindlerens enhed i sin MitID-nøgleapp i forbindelse med, at følgende tekst blev sendt til klagerens MitID-nøgleapp den 2. april 2023: ”Log på hos MitID.dk for at se eller ændre i din MitID profil”, hvorved svindleren kunne installere og aktivere klagerens MitID på sin enhed og foretage de omtvistede transaktioner.
Vi finder, at banken har godtgjort, at klageren derved ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. Klageren skal som følge heraf hæfte med op til 8.000 kr.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Tina Thygesen og Elizabeth Bonde – udtaler:
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have handlet som sket.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, der muliggør misbruget.
Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr., jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre yderligere 7.650 kr. til klageren.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.