Indsigelse mod at hæfte for op til 8.000 kr. af korttransaktioner. Aktivering/indrullering af MitID-app på svindlers enhed.
| Sagsnummer: | 5/2023 |
| Dato: | 28-02-2024 |
| Ankenævn: | Vibeke Rønne, Christina Bryanth Konge, Karin Sønderbæk og Morten Bruun Pedersen |
| Klageemne: |
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger Afvisning - bevis § 5, stk. 3, nr. 4 |
| Ledetekst: | Indsigelse mod at hæfte for op til 8.000 kr. af korttransaktioner. Aktivering/indrullering af MitID-app på svindlers enhed. |
| Indklagede: | Nordea Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for op til 8.000 kr. af korttransaktioner. Aktivering/indrullering af MitID-app på svindlers enhed.
Sagens omstændigheder
Klageren var kunde i Nordea Danmark, hvor hun blandt andet havde en lønkonto med et tilknyttet betalingskort, en opsparingskonto samt netbankadgang.
Den 16. november 2022 kl. 15:48 og kl. 15:49 blev der foretaget to korttransaktioner med klagerens betalingskort på henholdsvis 5.000 kr. og 2.149 kr. til en betalingsmodtager, F, som klageren ikke kan vedkende sig. Af en transaktionsliste fra Nets fremgår, at korttransaktionerne blev godkendt med 3D Secure.
Den 20. november 2022 gjorde klageren indsigelse mod transaktionerne over for banken. I indsigelsesblanketten oplyste klageren blandt andet, at hun sidst havde brugt sit betalingskort den 16. november 2022 kl. 14:30 og havde opdaget misbruget den 16. november 2022 kl. 17:15. Hun oplyste endvidere:
”Skulle sælge et par bukser til en køber på Tise, der er en tøjapp til at sælge sit brugte tøj. Får tilsendt et link af kunden fra postnord, hvor jeg skal give mine kortoplysninger for at modtage betaling for varen. Kigger efter et par timer på min konto og ser reservationer på hhv. ca. 2000 og 5000. Spærrer derefter kortet hos Nordea, men desværre bliver pengene efterfølgende trukket fra min konto.”
Banken afviste klagerens indsigelse med den begrundelse, at klageren selv hæftede med en selvrisiko på 8.000 kr., da transaktionerne var godkendt med klagerens MitID og dette var sket ved, at svindleren havde indrulleret klagerens MitID på svindlerens egen device/telefon.
Den 2. januar 2023 indbragte klageren sagen for Ankenævnet.
I klagen til Ankenævnet oplyste klageren følgende om sagsforløbet:
”Den 16. november 2022 sælger jeg et par bukser til 300 kr. på Tise.com, en portal for salg og køb af brugt tøj.
En brugerprofil, som på Tise hedder [A… N…], skriver, at hun gerne vil købe mine bukser og sender et link, som jeg tror er fra PostNord, hvor jeg skal indtaste oplysninger, så hun kan sende penge til mig. På min konto finder jeg efterfølgende ud af, at brugerprofilen fra Tise også er svindel, da der står [S… K…] som modtager.
Jeg trykker på linket, hvor jeg skal opgive kortoplysninger og cvc. Derefter kommer en meddelelse om, at jeg skal godkende modtagelse af betalingen med MitID. Det gør jeg 14.23 og tænker, at nu modtager jeg pengene.
Kl. 17.50 tjekker jeg min konto for at se, om pengene er gået ind. Det er de ikke. I stedet er der blevet trukket (reserveret) hhv. 2000 og 5000 kr. fra min konto.
Desuden kan jeg se, at svindleren åbenbart har fået adgang til min bankkonto og har flyttet 17.500 fra min rejseopsparing til min lønkonto. Da jeg opdager det, skynder jeg mig at flytte mine penge over til mine forældre og ringer derefter ca. kl. 18 til Nordea for at få spærret mit kort. Nordea-manden fortæller også, at han spærrer mit MitID.
Nordea skriver i deres afvisning, at de kan se, at jeg tre gange selv har godkendt anmodninger fra MitID og derfor burde have indset, at det var svindel.
Jeg siger, at jeg kun har godkendt én henvendelse/anmodning fra MitID, nemlig den første, hvor jeg tror, jeg bekræfter modtagelsen af penge for salg af mine bukser.
Mellem 14.23 og 17.50, hvor jeg tjekker for at se om pengene er gået ind, er jeg ikke på min konto, da jeg har travlt på arbejde. Den brug af MitID, som sker efter 14.23 må altså være svindleren, som har fået adgang til at bruge min MitID efter min første godkendelse.
Jeg kan se, at jeg har fået tre notifikationer fra MitID i tidsrummet 14.23 – 15.31. Se indsatte bilag 1 herunder:
Den første notifikation er en bekræftelse på, at JEG har bedt om adgang til at ændre oplysninger på MitID. Det er rigtigt, at jeg har godkendt anmodningen i den tro, at det skulle jeg for at få mine penge for bukserne.
De to andre notifikationer er, som det fremgår, blot bekræftelser på, at nogen har foretaget sig noget aktivt med mit MitID, ikke at JEG har gjort det. Den sidste notifikation er ovenikøbet på engelsk (hvilket jeg i øvrigt synes ser mærkeligt ud. Hvis jeg havde set den på det tidspunkt, håber jeg trods alt, jeg ville have opfattet det som svindel.)
Hvordan svindleren har fået adgang til selv at godkende transaktioner med mit MitID efter min første godkendelse 14.23, ved jeg ikke. Men alle transaktioner med MitID og på min bankkonto efter det tidsrum og indtil kontoen bliver spærret, er foretaget af svindleren og ikke mig.”
Klageren har fremlagt en udskrift af de SMS’er, som hun fik sendt til sit telefonnummer den 16. november 2022 fra MitID.
Af en notifikations-SMS fra MitID sendt kl. 14:23 fremgik:
”Du har bedt om adgang til at ændre oplysninger på MitID.dk og kan logge på om 1 time.
Har du ikke bedt om adgang? Ring til MitID support + 45 33980010.”
Af notifikations-SMS’er fra MitID kl. 15:23 fremgik:
”Du har nu adgang til at logge på MitID.dk og ændre oplysninger i 24 timer.
Har du ikke bedt om adgang? Ring til MitID support + 45 33980010.”
Af efterfølgende notifikations-SMS’er fremgik:
”Temporary PIN code for MitID app: [xxxxxxxxx]
IMPORTANT: Never share this code with others. Not even with someone who claims to come from the bank or support.”
“Din nye MitID app er nu aktiveret.
Har du ikke aktiveret din app? Ring til MitID support + 45 33980010.”
Banken har oplyst, at koden sendt til klagerens telefonnummer blev anvendt af svindleren, som dermed har kunnet installere et nyt MidID på svindlerens egen device, som klageren via sit eget MitID har godkendt installationen af. Som følge af indrulleringen af klagerens MitID på svindlerens egen device havde denne herefter adgang til at godkende korttransaktionerne.
Banken har fremlagt en udskrift fra bankens MitID-hændelseslog den 16. november 2022 vedrørende klageren. Af udskriften fremgår:
|
App- autentificering lykkedes |
Information |
|
Godkendelse – indtastet bruger-ID |
Information |
|
Godkendelse – logget på med MitID |
Information |
|
App – autentificering lykkedes |
Information |
|
Godkendelse – indtastet bruger-ID |
Information |
|
App – ny MitID app aktiveret |
Kritisk |
|
Midlertidig PIN-kode – til MitID valideret |
Information |
|
Midlertidig PIN-kode – til MitID app sendt på SMS |
Information |
|
Aktiveringskode – til MitID valideret |
Kritisk |
|
Aktiveringskode – til ny MitID app oprettet |
Kritisk |
|
Godkendelse – logget på med MitID |
Information |
|
App – autentificering lykkedes |
Information |
|
Godkendelse – indtastet bruger-ID |
Information |
|
Oplysninger – MitID bruger tildelt adgang til at ændre oplysninger i MitID profil |
Kritisk |
|
App – autentificering lykkedes |
Information |
|
Oplysninger – MitID bruger anmodet om adgang til at ændre oplysninger i MitID-profil |
Kritisk |
Parternes påstande
Klageren har nedlagt påstand om, at Nordea Danmark skal betale 7.149 kr.
Nordea Danmark har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at hun ikke har handlet groft uforsvarligt/udvist grov uagtsomhed.
Banken har i afvisningen af hendes indsigelse skrevet, at hun har godkendt de tre transaktioner kl. 14:23, 15:23 og 15:31, men det har hun ikke. Det er svindleren, som har haft adgang til at bruge hendes MitID og har godkendt de sidste to.
Det står i bankens betingelser, at banken skal bevise, at hun har handlet groft uagtsomt og/eller, at hun burde have vidst, at hun var udsat for svindel. Det har banken ikke bevist. Banken har alene dokumenteret, at der har været aktivitet på hendes Mit- IDkonto i ovennævnte tidsrum. Ikke at det er hende, der har foretaget den aktivitet.
Hun ved, at det var ikke hende, der godkendte anmodningerne. Hun var på arbejde og tjekkede ikke sin konto før kl. 17:50, hvor hun opdagede svindlen.
Det ville desuden være mærkeligt, hvis hun skulle have godkendt tre anmodninger med MitID af den karakter, som notifikationerne beskriver, for at få et beløb på 300 kr.
Endelig dokumenterer notifikations-teksten, at hun ganske vist godkendte den første (kl. 14:23), men ikke de to næste (15:23 og 15:31), som banken påstår.
Svindlen er politianmeldt med navnet på den person, som fremgår af hendes kontoudtog, men politiet har meddelt, at de ikke vil gøre mere ved anmeldelsen.
Nordea Danmark har anført, at betalingerne på 7.149 kr. blev korrekt registreret og bogført og ikke var ramt af tekniske svigt eller andre fejl.
Klageren har selv anført, at hun modtog en SMS fra det, hun troede var Postnord, til brug for modtagelse af betaling for tøj, som klageren havde solgt på en tøjportal. Klageren har selv oplyst i sin indsigelse, at hun udfyldte sine MitID oplysninger, hvorfor det også må kunne lægges til grund, at disse blev overgivet til svindleren.
I den SMS, der blev sendt til klagerens telefonnummer og som indeholdt en midlertidig MitID kode, fremgik det også eksplicit, at klageren ikke måtte dele koden med andre. Det fremgår af den fremlagte udskrift af SMS teksterne, at den pågældende kode blev sendt kl. 15:23 og umiddelbart efter blev den aktiveret, som det fremgår af den næste SMS. Dette kan også ses i den fremlagte MitID hændelseslog. Det må derfor have formodningen for sig, at klageren har videregivet denne kode til svindleren.
Herudover og henset til den korte tidshorisont mellem svindlen og modtagelsen af SMS’en fra svindleren, og at klageren selv uopfordret har oplyst at have modtaget SMS’en med anmodning om oplysninger, så har dette også formodningen for sig, at klageren har videregivet aktiveringskoden til MitID.
Henset til ordlyden af SMS’erne har klageren ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse ved at gøre det muligt for svindleren at oprette en MitID app, som muliggjorde godkendelse af de omtvistede transaktioner, hvorfor banken var berettiget til at tage en selvrisiko på op til 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 3.
Ankenævnets bemærkninger
Den 16. november 2022 blev der foretaget to korttransaktioner med klagerens betalingskort på henholdsvis 5.000 kr. og 2.149 kr. til en betalingsmodtager, F, som klageren ikke kan vedkende sig.
Banken afviste klagerens indsigelse med begrundelsen, at hun ved groft uforsvarlig adfærd havde muliggjort den uberettigede anvendelse, hvorfor klageren selv hæftede med op til 8.000 kr.
Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Klageren har anført, at hun ikke har udleveret den midlertidige MitID kode til tredjemand. Banken har anført, at klageren i sit MitID-app godkendte aktiveringen af en ny MitID-app på tredjemands enhed, hvorved klageren ved groft uforsvarlig adfærd muliggjorde gennemførsel af de ikke vedkendte transaktioner.
Ankenævnet finder, at en afklaring af de nærmere omstændigheder omkring aktiveringen af klagerens MitID-app på tredjemands enhed forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.