Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for op til 8.000 kr. af en korttransak-tion gennemført med 3D Secure og godkendt i MitID-app.

Sagsnummer: 456 /2023
Dato: 06-02-2024
Ankenævn: Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen, Karin Sønderbæk, Tina Thygesen og Elizabeth Bonde.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for op til 8.000 kr. af en korttransak-tion gennemført med 3D Secure og godkendt i MitID-app.
Indklagede: Jyske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for op til 8.000 kr. af en korttransaktion gennemført med 3D Secure og godkendt i MitID-app.

Sagens omstændigheder

Klageren var kunde i Jyske Bank, hvor han havde en konto med et tilhørende Visa/Dankort.

Den 8. maj 2023 blev der med klagerens betalingskort foretaget en betaling på 726,98 EUR, svarende til 5.475,80 DKK, til en betalingsmodtager, E, som klageren ikke kan vedkende sig.

Om baggrunden for betalingen har klageren oplyst, at han modtog en e-mail, der fremstod som værende fra YouSee, hvoraf fremgik, at han var berettiget til en refusion med et link. Han trykkede på linket og udfyldte sine kortoplysninger.

Banken har oplyst, at klageren godkendte betalingen med sit MitID, og at betalingen blev gennemført med 3D Secure.

Banken har endvidere oplyst, at klageren i forbindelse med godkendelse i sin MitID-app blev præsenteret for beløb og beløbsmodtager, og har fremlagt en udskrift fra Nets, hvoraf fremgår, at der i forbindelse med betalingen i klagerens MitID-app fremgik følgende:

”Betal 726,98 EUR til [E] fra kort xx4568”.

Banken har fremlagt en MitID-hændelseslog, hvoraf det fremgår, at betalingen blev godkendt den 8. maj 2023 kl. 18:57 i MitID-app med MitID identifikationsmiddel-ID -0206.

Det fremgår endvidere, at MitID identifikationsmiddel-ID -0206, der blev benyttet til godkendelse af betalingen, blev oprettet den 15. marts 2022 på en Android-enhed. Banken har oplyst, at den har lagt til grund, at det er klagerens MitID-app.

Klageren gjorde den 10. maj 2023 indsigelse over for banken. I indsigelsesblanketten anførte han, at han hverken havde foretaget eller godkendt betalingen, at han ikke kendte til betalingen, at han var blevet kontaktet på mail for udlevering af oplysninger til modtagelse af en betaling fra YouSee, og at han udleverede MitID-oplysninger.

Banken afviste klagerens krav, da hans tab ikke oversteg 8.000 kr.

 

Parternes påstande

Den 30. juli 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal tilbageføre det fulde beløb.

Jyske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at han ikke blev præsenteret for beløb og beløbsmodtager i sin MitID-app, og hvis han blev præsenteret for noget, var det i et split-sekund. Hans handling kan derfor ikke betragtes som groft uforsvarlig adfærd.

Den nævnte snyde-e-mail fra YouSee var rimelig professionelt udformet, set i lyset af, at YouSee har en stor diversitet i personalet, der ikke altid formulerer sig på den forventede måde. Et selskab kan sagtens bruge EUR eller USD. Der er allerede flere selskaber, der sender regninger på produkter i udenlandsk valuta.

Han godkendte i god tro, og den pågældende tekst var på hans skærm i formentlig mindre end ét sekund, og det er urimeligt at kalde hans handlemåde groft uansvarlig.

Han er blevet udsat for røveri af nogle teknisk dygtige svindlere, hvor bankens sikkerhedssystem eller MitID ikke har været på et teknisk højt nok niveau til at kunne advare ham eller beskytte ham på en forsvarlig måde.

Jyske Bank har til støtte for frifindelsespåstanden anført, at klageren fulgte et link i en falsk e-mail, hvori han fik oplyst, at han skulle modtage en refusion på 137 EUR.  Han indtastede sine kortoplysninger og godkendte som følge heraf den i sagen omhandlede transaktion.

Klageren godkendte betalingstransaktionen med sin MitID-app.

Betalingstransaktionen er korrekt registreret og bogført og har ikke været ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98.

Klagerens MitID er en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31, og ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Klageren modtog en e-mail fra YouSee, hvoraf det fremgik, at han skulle modtage en refusion på 137 EUR fra de sidste to fakturaer, hvilket forekommer usædvanligt, når afregning af betalingstransaktioner normalt gennemføres i DKK, og dette burde have skærpet klagerens opmærksomhed. Klageren valgte, selvom han ikke forventede refusion, desuagtet at klikke på linket i e-mailen.

Klageren fik i godkendelsesbilledet i MitID, netop forinden han godkendte betalingen, forevist både beløbets størrelse samt navn på beløbsmodtager. Det fremgik klart, at klageren ikke var i færd med at få penge retur, men derimod var i færd med at godkende og gennemføre en betaling på 726,98 EUR.

Dette burde have skærpet klagerens opmærksomhed og givet ham anledning til at undersøge sagen yderligere, før han godkendte betalingen. Havde klageren læst detaljerne for betalingen, som fremgik af godkendelsesteksten i MitID-appen, lige inden han godkendte betalingstransaktionen, kunne misbruget have været undgået.

E-mailen var uprofessionelt formuleret, idet der blandt andet fremgik ”anmode om en refusion på 137 EUR på de sidste 2 fakturaer” og ”Vi værdsætter jeres forretning og ønsker at sikre, at I er tilfredse med alle aspekter af vores service. Derfor er vi glade for at tilbyde denne nye mulighed for vores kunder”.

Da klageren til trods herfor godkendte betalingen, har klageren ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse og hæfter dermed med 8.000 kr. af tabet, jf. betalingslovens § 100, stk. 4, nr. 3.

Da beløbet er mindre end 8.000 kr., er banken ikke forpligtet til at godtgøre klageren noget beløb.

Til støtte for afvisningspåstanden har banken anført, at der er en sådan usikkerhed om det faktisk passerede i sagen, herunder hvilke betalingsoplysninger klageren har fået vist i betalingsflowet, at en afgørelse heraf forudsætter en bevisvurdering i form af parts- og vidneforklaringer, som ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, og at sagen dermed skal afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Jyske Bank, hvor han havde en konto med et tilhørende Vi-sa/Dankort.

Den 10. maj 2023 blev der med klagerens betalingskort foretaget en betaling på 726,98 EUR, svarende til 5.475,80 DKK, til en betalingsmodtager, E, som klageren ikke kan vedkende sig.

Om baggrunden for betalingen har klageren oplyst, at han modtog en e-mail, der fremstod som værende fra YouSee, hvoraf fremgik, at han var berettiget til en refusion med et link. Han trykkede på linket og udfyldte sine kortoplysninger.

Klageren har anført, at han ikke blev præsenteret for beløb og beløbsmodtager i sin MitID-app. Hvis han blev præsenteret for noget, var det i et split-sekund.

Banken har anført, at klageren selv godkendte betalingen i sin MitID-app, hvor beløb og beløbsmodtager fremgik ved godkendelsen.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen og Karin Sønderbæk – udtaler:

Vi lægger til grund, at klageren må have godkendt betalingen på 726,98 EUR i sin MitID-app.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID-appen, hvor han fik oplysninger om beløbet på 726,98 EUR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Tina Thygesen og Elizabeth Bonde – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr., jf.  betalingslovens § 100, stk. 3. 

Vi stemmer derfor for, at banken skal tilbageføre 5.100 kr. til klageren. 

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.