Indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i MitID-app.
| Sagsnummer: | 91 /2023 |
| Dato: | 15-11-2023 |
| Ankenævn: | Bo Østergaard, Inge Kramer, Janni Visted Hansen, Morten Bruun Pedersen og Jørn Ravn. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i MitID-app. |
| Indklagede: | Lån & Spar Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i MitID-app.
Sagens omstændigheder
Klageren var kunde i Lån & Spar Bank, hvor hun havde en konto med et tilknyttet Visa/dankort.
Den 26. december 2022 blev klagerens Visa/dankort anvendt til en betaling til en udenlandsk betalingsmodtager, F, på 1.454,99 EUR, som klageren ikke kan vedkende sig.
Om baggrunden for transaktionen er det oplyst, at klageren modtog en mail, der fremstod som om, den kom fra PostNord. Af mailen fremgik, at klageren skulle betale 16 DKK for at få udleveret en pakke, og at leveringsadressen var ugyldig. Klageren har oplyst, at da hun skulle godkende med MitID, kom beløbet ikke frem. Idet hun swipede, ændrede beløbet sig til ca. 1.500 EUR. Banken har oplyst, at det fremgår af en udskrift fra Nets, at klageren fik præsenteret følgende tekst i MitID-appen:
”Betal 1454,99 EUR til [F] fra kort xx1633”
Banken har oplyst, at kortbetalingen blev godkendt med sikkerhedsløsningen 3D Secure ved indtastning af kortoplysninger og ved godkendelse i MitID-app, og at transaktionen er korrekt registreret og bogført.
Klageren har oplyst, at hun ringede 10-15 minutter efter, at hun var blevet udsat for svindlen og fik lukket sit kort.
Den 29. december 2022 blev der trukket 10.931,88 DKK på klagerens konto.
Klageren indgav indsigelse til banken, der godtgjorde klagerens tab fratrukket 8.000 DKK.
Banken har fremlagt teksten fra mailen, der indeholdt et link, samt eksempler på advarsler mod svindel på PostNords og bankens hjemmesider.
Parternes påstande
Den 1. februar 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Lån & Spar Bank skal nedsætte hendes hæftelse til maksimum 4.000 DKK.
Lån & Spar Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at idet hun swipede, ændrede de 16 DKK sig til ca.1.500 EUR.
Hun har ikke udvist grov uagtsomhed.
Mailen var helt korrekt formuleret. Hun skulle betale et gebyr på 16 DKK, fordi de havde forsøgt at levere en pakke, men adressen var ugyldig. Hun var netop flyttet. Da det var jul, var det sandsynligt, at hun skulle modtage en pakke, men at de ikke kunne finde hendes nye adresse.
Svindlerne bliver dygtigere og dygtigere. Hun har læst om flere andre, der har modtaget samme mail og er faldet i med begge ben.
Hun har ikke set advarsler mod PostNord phishing.
Hun modtog en advarende besked fra sin bank og fik straks lukket sit kort. Hun ringede 10-15 minutter efter, at hun var blevet udsat for svindel. Alligevel blev de ca. 11.000 DKK trukket fra hendes konto. Det undrer hende, at en bank ikke kan bremse en betaling, der først bliver hævet fire dage efter. Det er dårlig kundeservice.
Hun er en god kunde hos banken og har aldrig bedt den om at dække noget før.
En selvrisiko på 8.000 DKK er urimeligt høj. Beløbet harmonerer ikke med de beløb, man betaler i selvrisiko hos sit forsikringsselskab.
Lån & Spar Bank har til støtte for frifindelsespåstanden anført, at klageren selv godkendte transaktionen ved at ”swipe” i MitID app.
Klageren burde have undersøgt mailen, inden hun trykkede på linket og afgav alle sine oplysninger. Klageren udviste grov uagtsomhed ved ikke at undersøge forholdet nærmere. Det fremgik tydeligt af phishingmailen, at PostNord ikke var afsender af mailen. I mailen henvises til, at man kan opdatere leveringsadresse, hvilket ikke burde involvere godkendelse med MitID og betaling af 16 DKK. Det i mailen anførte pakkenummer eksisterer ikke.
Der advares imod denne svindelmetode på diverse hjemmesider og medier.
Klageren har ved at indtaste og herved videregive sine strengt personlige oplysninger og ved at ”swipe” ved groft uforsvarlig adfærd muliggjort transaktionen, jf. betalingslovens § 100, stk. 4, nr. 3. Klageren hæfter derfor for 8.000 DKK af tabet som følge af transaktionen. Selvrisikoen på 8.000 DKK er fastsat i betalingslovens § 100 og dermed lovbestemt og er ikke blot et selvrisikobeløb, som banken selv bestemmer.
Da der var tale om en udenlandsk transaktion, blev den først bogført den 29. december 2022, men betalingsordren blev afgivet straks. Det følger af betalingslovens § 111, stk. 1, at en betalingsordre ikke kan tilbagekaldes, efter at den er modtaget af betalerens udbyder. Dette medfører, at når der foretages et køb, så er transaktionen ”bindende” for betaleren/kortholderen og kan derfor ikke standses, også selvom kortet spærres kort tid efter. En spærring af kortet umuliggør alle transaktioner efter spærringen, men ikke før.
Lån & Spar Bank har til støtte for afvisningspåstanden anført, at Ankenævnet bør afvise sagen, da det kun vil være muligt at træffe afgørelse i sagen, hvis klageren og eventuelle vidner under strafansvar afgiver mundtlige parts- og vidneforklaringer. Dette kan ikke ske for Ankenævnet, men i givet fald ved domstolene. Ankenævnet bør derfor afvise sagen under henvisning til § 5, stk. 3, nr. 4 i Ankenævnets vedtægter.
Ankenævnets bemærkninger
Den 26. december 2022 blev klagerens Visa/dankort anvendt til en betaling til en udenlandsk betalingsmodtager, F, på 1.454,99 EUR, som klageren ikke kan vedkende sig.
Om baggrunden for transaktionen er det oplyst, at klageren modtog en mail, der fremstod som om, den kom fra PostNord. Af mailen fremgik, at klageren skulle betale 16 DKK for at få udleveret en pakke, og at leveringsadressen var ugyldig.
Klageren har anført, at da hun skulle godkende med MitID, kom beløbet ikke frem. Idet hun swipede, ændrede beløbet sig til ca. 1.500 EUR.
Banken har oplyst, at den omtvistede betaling med klagerens betalingskort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i klagerens MitID-app. Af en udskrift fra Nets fremgår, at følgende tekst blev sendt til klagerens MitID-app: ”Betal 1454,99 EUR til [F] fra kort xx1633”.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Banken har godtgjort klagerens tab fratrukket 8.000 DKK.
Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.
Ankenævnet finder endvidere, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).
Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter at transaktionen var godkendt, uanset tidspunktet for den efterfølgende spærring af kortet.
Tre medlemmer – Bo Østergaard, Inge Kramer, Janni Visted Hansen – udtaler:
Vi finder det godtgjort, at klageren har godkendt betalingen på 1.454,99 EUR i sin MitID-app. Vi har herved lagt vægt på udskriften fra Nets.
Vi finder derfor, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID-appen, hvor hun fik oplysninger om beløbet på 1.454,99 EUR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Morten Bruun Pedersen og Jørn Ravn – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, hvor forbrugeren oplever, at beløbet ændrer sig efter, at transaktionen er godkendt, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, hvor beløbet først ændres efter, at transaktionen er godkendt.
Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet på 10.931,88 DKK, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, banken skal tilbageføre 7.625 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.