Indsigelse mod at hæfte for 8.000 DKK af korttransaktion godkendt i MitID-app.
| Sagsnummer: | 163 /2023 |
| Dato: | 30-11-2023 |
| Ankenævn: | Vibeke Rønne, Jonas Thestrup Nielsen, Karin Sønderbæk, Tina Thygesen og Elizabeth Bonde |
| Klageemne: |
Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 DKK af korttransaktion godkendt i MitID-app. |
| Indklagede: | Nykredit Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion godkendt i MitID-app.
Sagens omstændigheder
Klageren var kunde i Nykredit Bank, hvor han havde et Visa/Dankort nr. -88.
Den 7. januar 2023 kl. 16:21 blev der foretaget en kortbetaling på 6.001,72 AED (Emiratiske Dirham) svarende til 11.771,20 DKK med klagerens kort til en betalingsmodtager, M, som klageren ikke kan vedkende sig.
Klageren har oplyst, at han ikke godkendte betalingen.
Banken har oplyst, at betalingen blev gennemført ved brug af klagerens kortoplysninger og godkendt via hans MitID-app. Banken har fremlagt en udskrift fra sit system med teksten, der blev sendt til MitID-app i forbindelse med godkendelse af betalingen. Af teksten fremgik:
”Betal 6001,72 AED til [M] fra kort xx3488”
Banken har oplyst, at transaktionen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.
Banken har fremlagt hændelseslog over klagerens MitID. Det fremgår heraf, at der den 7. januar 2023 var registreret én MitID-app på klageren: nr. -8874 (Oprettet på iPhone 12, iOS–16.1.2, den 24. november 2021 og spærret den 12. januar 2023). Endvidere fremgår det, at der fra MitID-app nr. -8874 blev registreret følgende den 7. januar 2023:
|
Tidspunkt |
Hændelse |
|
16:20 |
Godkendelse – indtastet bruger-ID |
|
16:20 |
Godkendelse – startet kontrol og bekræftelse - af allerede pålogget identitet |
|
16:21 |
App - autentificering lykkedes |
Den 10. januar 2023 indgav klageren indsigelse til banken. Klageren oplyste, at kortet var i hans besiddelse på tidspunktet for den omtvistede betaling, og at han ikke havde nogen idé om, hvordan hans kort var blevet misbrugt. Banken meddelte, at klageren selv hæftede for 8.000 DKK af tabet. Klageren fastholdt indsigelsen og anførte, at han ikke den 7. januar 2023 havde modtaget en sms eller e-mail med et link, som han kunne have trykket på, at han ikke havde forsøgt at købe et produkt på nettet den pågældende dag, og at han ikke havde forsøgt at købe eller sælge til en anden, f.eks. via DBA eller lignende sider.
Parternes påstande
Den 4. marts 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nykredit Bank skal tilbageføre 8.000 DKK til ham.
Nykredit Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at han den 10. januar 2023 opdagede, at der den 7. januar 2023 var blevet hævet et beløb på 11.771,20 DKK på hans konto, som han ikke selv havde overført. Han fandt ud af, at beløbet var hævet af et firma, M, i Dubai. Han spærrede derefter sit kreditkort og MitID. Han skrev til M, at det måtte være en fejl, idet han ikke havde handlet med dem, men M svarede ikke. Han meldte sagen til politiet, banken, sit forsikringsselskab og til MitID.
Hverken han eller nogen i hans husstand har på noget tidspunkt være inde og godkende overførslen med MitID. Han har ingen anelse om, hvad beløbet er brugt til. Han har hverken indtastet kortoplysninger eller godkendt med MitID ved at swipe på en anmodning på 11.771,20 DKK. Hvis han havde gjort dette, som banken påstår, så ville han også vide, hvad beløbet ville være betaling for, hvilket han heller ikke ved. Han har ikke set dette beløb, før han opdagede, det var blevet trukket fra hans konto.
Han undrer sig desuden over, at han ikke fik en besked fra banken om, at der nu var ved at blive overført et beløb fra hans konto til udlandet, og at hvis det ikke var ham, der var ved at overføre, skulle han reagere. Det ved han, at mange andre banker gør.
Han formoder, at såvel Nykredit Bank som andre instanser er bekendt med, at andre end han har været udsat for svindel med MitID. Alligevel fastholder banken, at der er sikkerhed i betalingen i den såkaldte tofaktor godkendelse. Han er hverken dum eller dement, så hvorfor skulle han godkende et beløb, som han slet ikke kender til, og uden at vide til hvem, og hvad beløbet dækker.
Han er frustreret over, at banken på trods af hans oplysninger træffer sin afgørelse ud fra, at der er brugt samme enhed som ved tidligere overførsler, når han ved, at hans MitID er blevet misbrugt. Han har været kunde i Nykredit Bank i mange år og haft tillid til banken, så han er meget frustreret og vred over bankens mistillid til ham og hans troværdighed.
Nykredit Bank har til støtte for frifindelsespåstanden anført, at klageren har oplyst, at han på intet tidspunkt har delt sine MitID oplysninger med nogen, og at kortet var i hans besiddelse på tidspunktet for betalingstransaktionen og i den efterfølgende periode.
Godkendelsen af betalingstransaktionen skete fra klagerens MitID-app, som tidligere havde været benyttet af klageren, som var oprettet den 24. november 2021, og som var det eneste tilknyttede identifikationsmiddel.
Den anvendte sikkerhedsforanstaltning 3D Secure indebærer, at transaktionen udelukkende kan gennemføres ved både at indtaste kortoplysninger og godkende med MitID ved verifikation i MitID-app i form af et fysisk swipe på en fremsendt godkendelsesanmodning, hvor man bliver præsenteret for den transaktion, man er ved at godkende. Transaktionen gennemføres kun, hvis den godkendes.
En app med et specifikt serienummer kan kun være installeret på én enhed. Desuden kræver det altid, at der foretages et fysisk swipe på enheden, hvilket ikke kan gøres fra andre enheder end den, som godkendelsesanmodningen er sendt til, ligesom godkendelsen ikke kan fjerngennemføres.
Såfremt klageren havde ret i sin påstand om, at der er tale om misbrug af MitID, ville det betyde, at tredjemand skulle have haft kendskab til klagerens kortoplysninger og adgang til den enhed, hvorpå MitID-appen er installeret, og desuden loginoplysninger til dette MitID. Dette er ikke tilfældet, idet der er tale om en enhed og MitID-app, som har været anvendt af klageren siden 24. november 2021. Sammenholdt med, at klageren oplyser at have været i besiddelse af betalingskortet og ikke at have delt sine MitID oplysninger, må der være tale om en betalingstransaktion gennemført og godkendt af klageren selv med et fysisk swipe på hans enhed.
Til klagerens spørgsmål om, hvorfor han ikke modtog særskilt besked om en betaling til udlandet, da den blev foretaget, bemærkes, at sådanne beskeder kan blive udsendt i forbindelse med kontooverførsler, men ikke ved betaling med kort. Ved betaling via betalingskort ligger sikkerheden i den såkaldte to-faktorgodkendelse.
Nykredit Bank har til støtte for afvisningspåstanden anført, at sagen forudsætter en yderligere bevisførelse i form af parts- og vidneafhøringer (for en gennemgang af hele forløbet), hvilket ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, hvorfor sagen bør afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Den 7. januar 2023 blev der foretaget en kortbetaling på 6.001,72 AED (Emiratiske Dirham) svarende til 11.771,20 DKK med klagerens kort til en betalingsmodtager, M, som klageren ikke kan vedkende sig.
Klageren har bestridt, at han har foretaget betalingen. Banken har anført, at den om-tvistede betaling blev foretaget af klageren, idet betalingen blev gennemført ved brug af hans MitID-app.
Den omtvistede betaling med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i MitID-app.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bog-ført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter be-stemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautenti-fikation, jf. betalingslovens § 7, nr. 30.
Banken har godtgjort klagerens tab fratrukket 8.000 DKK.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godt-gør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har mulig-gjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).
Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug, herunder om der er tale om misbrug under sådanne om-stændigheder, at klageren hæfter for 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter en yderligere bevisfø-relse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Anke-nævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.