Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod kortbetaling. Aktivering af nyt MitID på svindlerens enhed.

Sagsnummer: 364/2023
Dato: 06-02-2024
Ankenævn: Helle Korsgaard Lund-Andersen, Mette Lindekvist Højsgaard, Karin Sønderbæk, Tina Thygesen og Elizabeth Bonde.
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod kortbetaling. Aktivering af nyt MitID på svindlerens enhed.
Indklagede: Nordea Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod kortbetaling. Aktivering af nyt MitID på svindlerens enhed.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun havde et MasterCard -471.

Den 19. maj 2023 kl. 17:49 blev der med klagerens betalingskort foretaget en betaling på 900 EUR, svarende til 6.771,31 DKK, til en betalingsmodtager, T, som klageren ikke kan vedkende sig.

Om baggrunden for betalingen har klageren oplyst, at hun den 19. maj 2023 korresponderede med en person, P, omkring en vare, som hun havde til salg på Facebook. De blev enige om, at handlen og transporten skulle foregå via DAO. P fremsendte et link til det, der lignede DAO’s hjemmeside. Klageren fulgte linket til hjemmesiden, hvor hun godkendte og bekræftede sin Nordea MasterCard-konto med MitID.

Banken har oplyst, at betalingen blev godkendt med klagerens MitID-app, som blev indrulleret på svindlerens enhed den 19. maj 2023 kl. 17:26.

Banken har endvidere oplyst, at godkendelse af indrulleringen skete med klagerens MitID identifikationsmiddel-ID -9836. 

Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf det fremgår, at der var forud for den 19. maj 2023, var et aktivt MitID identifikationsmiddel-ID -9836 på en Android-enhed, som var blevet oprettet den 4. februar 2023, og at der den 19. maj 2023 blev oprettet et MitID identifikationsmiddel-ID -7536 på en iOS-enhed.

Det fremgår endvidere, at der den 19. marts 2023 kl. 16:21 og kl. 17:21 i klagerens MitID-app med MitID-identifikationsmiddel-ID -9836 blev foretaget og godkendt følgende handling: ”MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil”.

Det fremgår herudover, at der kl. 17:23 på SMS blev sendt en midlertidig PIN-kode til MitID-app, og at kl. 17:26 blev den midlertidige PIN-kode valideret og MitID identifikationsmiddel-ID -7536 blev aktiveret.

Af SMS-beskeden til klageren med den midlertidige PIN-kode fremgik følgende:

”Midlertidig PIN-kode til MitID app: xx xx xx xx (Nummer) VIGTIGT: Del aldrig denne kode med andre. Heller ikke med en som påstår at komme fra banken eller support.”.

Banken har anført, at klageren videregav den midlertidige PIN-kode, som hun modtog i en SMS af 19. maj 2023.

Banken har fremlagt et generisk billede, som er et testeksempel, der viser et godkendelsesbillede i MitID-app, hvoraf fremgår:

”Godkend følgende? Log på hos MitID.dk for at se eller ændre i din MitID profil.”.

Klageren har anført, at hun ikke godkendte indrulleringen.

Klageren gjorde den 19. maj 2023 indsigelse over for banken. I indsigelsesblanketten anførte hun blandt andet, at hun ikke havde foretaget, medvirket til eller autoriseret transaktionen, og at:

”Provide additional information / description of events

skulle sælge en varer og fik tilsendt et link til DAO og klikkede på det for at få mine penge og det lignede DAO hjemmeside og så blev jeg svindlet”.

Banken afviste klagerens indsigelse under henvisning til, at klageren hæftede for 8.000 DKK.

Parternes påstande

Den 26. juni 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbagebetale det fulde beløb.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hændelserne i MitID er foretaget af svindleren, og at hun ikke har godkendt oprettelse af nyt MitID.

Hun kan på den baggrund ikke erkende at have handlet groft uforsvarligt.

Nordea Danmark har anført, at den omhandlede betalingstransaktion blev korrekt registreret og godkendt og ikke var ramt af tekniske svigt eller andre fejl.

Klagerens MasterCard blev brugt af tredjemand efter brug af den af klageren, udleverede midlertidige adgangskode. Dette kunne alene ske ved, at klageren gennem sin MitID godkendte indrulleringen af sit MitID på tredjemands enhed.

Klageren blev præsenteret for følgende tekster, idet dette er systemunderstøttet: ”MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil”, ”MitID bruger tildelt adgang til at ændre oplysninger i MitID profil” og ”Log på hos MitID.dk for at se eller ændre i din MitID profil”.

Klageren godkendte via MitID-app indrullering af hendes MitID på tredjemands enhed, og hun blev i godkendelsesbeskederne tydeligt gjort opmærksom på, at det angik ændringer i hendes MitID og MitID-profil. Klageren fik herefter udleveret en midlertidig PIN-kode med tydelig besked om, at koden ikke måtte videregives.

Trods disse tydelige angivelser om, hvad klageren var ved at godkende, valgte klageren at swipe til godkendelse heraf. Med godkendelsen fulgte, at klagerens MasterCard var brugbart som følge af både klagerens videregivelse af oplysninger herom via det fremsendte link, indrullering af klagerens MitID på tredjemands enhed og udlevering af midlertidig PIN-kode til klagerens MitID.

Transaktionen ville ikke være blevet gennemført, hvis klageren kun havde udleveret oplysninger om sit MasterCard via det pågældende link som følge af bankens sikkerhedsforanstaltninger. Dette krævede, at klageren både godkendte ændring af MitID, samt videregav den midlertidige PIN-kode til tredjemand.

De ovenstående handlinger er at betragte som groft uforsvarlig adfærd, hvorfor banken var berettiget til at opkræve 8.000 DKK i selvrisiko, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnets bemærkninger

Klageren var kunde i Nordea Danmark, hvor hun havde et MasterCard -471.

Den 19. maj 2023 kl. 17:49 blev der med klagerens betalingskort foretaget en betaling på 900 EUR, svarende til 6.771,31 DKK, til en betalingsmodtager, T, som klageren ikke kan vedkende sig.

Om baggrunden for betalingen har klageren oplyst, at hun den 19. maj 2023 korresponderede med en person, P, omkring en vare, som hun havde til salg på FaceBook. De blev enige om, at handlen og transporten skulle foregå via DAO. P fremsendte et link til det, der lignede DAO’s hjemmeside. Klageren fulgte linket til hjemmesiden, hvor hun godkendte og bekræftede sin Nordea MasterCard-konto med MitID.

Banken har oplyst, at betalingen blev godkendt med klagerens MitID-app, som blev indrulleret på svindlerens enhed.

Banken har endvidere oplyst, at godkendelse af indrulleringen skete med klagerens MitID-app.

Banken har anført, at klageren godkendte indrulleringen af sin MitID-app på svindlerens enhed, og at hun udleverede den midlertidige PIN-kode.

Klageren har anført, at hændelserne er foretaget af svindleren, og at hun ikke godkendte nyt MitID.

Ankenævnet lægger til grund, at transaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket heller ikke er bestridt.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnet finder, at en afklaring af de nærmere omstændigheder omkring aktiveringen af MitID-appen på svindlerens enhed forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.