Indsigelse mod at hæfte for to gange 8.000 DKK af korttransaktioner med henholdsvis Visa/dankort og Mastercard Business Debit. Aktivering/indrullering af MitID-app på svindlers enhed i forbindelse med bedragerisk telefonopkald.

Sagsnummer:686/2023
Dato:19-08-2024
Ankenævn:Vibeke Rønne, Bjarke L. Svejstrup, Jimmy Bak, Morten Bruun Pedersen og Ann-Mari Agerlin.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for to gange 8.000 DKK af korttransaktioner med henholdsvis Visa/dankort og Mastercard Business Debit. Aktivering/indrullering af MitID-app på svindlers enhed i forbindelse med bedragerisk telefonopkald.
Indklagede:Jyske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for to gange 8.000 DKK af korttransaktioner med henholdsvis Visa/dankort og Mastercard Business Debit. Aktivering/indrullering af MitID-app på svindlers enhed i forbindelse med bedragerisk telefonopkald.

Sagens omstændigheder

Klageren var kunde i Handelsbanken (nu Jyske Bank), hvor hun havde et Visa/dankort -874. Klageren havde endvidere en driftskonto -89 tilknyttet sin personligt ejede virksomhed, F, med et Mastercard Business Debit -790.

Den 5. oktober 2023 kl. 22.36 og den 6. oktober 2023 kl. 00.51 blev der foretaget to korttransaktioner med klagerens Visa/dankort på i alt 15.334 DKK til en betalingsmodtager P, som klageren ikke kan vedkende sig.

Den 5. oktober 2023 fra kl. 23.01 til 23.28 blev der foretaget fire korttransaktioner med klagerens Mastercard Business Debit i GBP, svarende til i alt 49.975,42 DKK, til en betalingsmodtager T, som klageren ikke kan vedkende sig.

Banken har oplyst, at betalingerne blev godkendt i klagerens MitID-app med serienummer -5385, som var installeret den 5. oktober 2023 kl. 13.11, og at betalingerne var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.

Klageren gjorde indsigelse mod korttransaktionerne over for banken. I indsigelsesblanketterne anførte klageren blandt andet:

”… Jeg blev ringet op af en person, den 5. oktober, der udgav sig for at være [J] fra Jyske Bank. Jeg tjekkede nummeret og kunne se at de var registreret hos Jyske Bank og at det var et direkte nummer til [J] , så jeg var tillidsfuld. Første opkald er kl. 11.25 og vedkommenende kontakter mig i alt 8 gange, sidst gang 18.12 og der er 3 ubesvarede opkald til mig 13.03, 13.04 og 13.05.

Ved opkaldet 11.25 fortæller han mig, at de kan se at der har været nogle uregelmæssige bevægelser på min konto og han ringer for at tjekke om det er mig der har foretaget flere køb til udenlandske konti, hvilket jeg afslår at det er. Han siger at de arbejder på at annullere dem og det er jeg jo selvfølgelig taknemmelig for. Han siger at han ringer igen 13.15 for at give mig en opdatering, så jeg slipper for at skulle sidde i kø i 40 minutter, da de har meget travlt, da de oplever meget hacking lige i øjeblikket.

Han ringer igen 13.06 og undskylder at han ringer, men at han kan se der, er et køb på et stort beløb, som står til at gå igennem om 4 minutter og han skal igen tjekke om der er mig, hvilket jeg afslår og han fortæller at "de" arbejder på at få overførslen annulleret. Jeg er jo selvfølgelig taknemmelig og føler mig voldsomt presset af at der er de her forsøg på overførsler fra min konto. Taktisk smart for at jeg kommer til at føle at han er redningsmanden der hjælper mig!

14.22 ringer han igen og siger at han har været inde og kigge på mit Mitld og at der er noget der ser underligt ud, at "de" har forsøgt at være inde og overtage det og skabe en ny profil. Han guider mig ind og beder mig om at ændre så jeg i stedet for at skulle scanne qr koder får engangskoder til godkendelse af digitale adgange. Han kan også se at "de" har slettet min mail, sikkert i et forsøg på at hacke og snyde mig... Han fortæller at han har en direkte forbindelse til Mitld mens vi taler for at sikre at det ser rigtigt ud hos dem.

Jeg skal svare på et antal spørgsmål. Hvor længe jeg har været kunde i banken, samt flere andre som jeg ikke helt husker, men det er for at bekræfte min identitet siger han. Det er spørgsmål som systemet spytter ud og ikke nogen han laver, siger han. Jeg husker ikke helt om det er her han beder mig om mit pasnummer og en talrække som dukker op i mit Mitld, tror jeg... Jeg har en fornemmelse af at der er noget der er forkert, men jeg ved jo at han er fra banken og han siger at jeg kan betragte det her som et rap over nallerne, da jeg har været inde og klikke på et link til opdatering af mine kortoplysninger på MobilePay. En opdatering der aldrig gik igennem som jeg husker det.

Han fortæller også at for at kunne hjælpe mig skal jeg aktivere chippen på mit firmakort. (Jeg har modtaget det men har ikke aktiveret det) Det skal jeg gøre ved at foretage et køb med kortet, hvilket jeg ikke gør. Han kan også se hvor mange penge der står på mit firmakort på dette tidspunkt, hvilket også giver mig en tryghed i at han altså er fra banken...

18.12 kommer sidste opkald og han siger at han kan se at jeg ikke har aktiveret kortet. Siger at det har jeg ikke tid til og at det må jeg gøre i morgen. Han er dog meget forhippet på at jeg får gjort det i dag, så han kan få ordnet sagen og få den lukket. Det er sidste gang jeg hører fra ham.

Næste formiddag da jeg kigger i netbanken undrer jeg mig over at der står kr. 100.000 på min firmakonto. Jeg tænker at det måske har noget med et forestående eventuelt bankskifte at gøre og da de er flyttet fra en fælles konto jeg har med min ex-mand, ringer jeg til ham for at høre om han kender noget til det, hvilket han ikke gør. Jeg kontakter derefter banken og nu står der så kr. 50.000,- på min firmakonto. Herefter spærres min konto og mit Mitld.

Jeg har skrevet til [T] og anmodet om at de kontakter mig, da jeg er blevet scammet. Jeg har i skrivende stund, 7/10 intet hørt og der er ikke angivet et telefonnummer til firmaet. …”

Klageren anmeldte endvidere sagen til politiet.

Banken har oplyst, at Mastercard Business Debit -790 blev aktiveret den 5. oktober 2023 kl. 15.51. Klageren har oplyst, at hun havde modtaget firmakortet, men ikke aktiveret det. J sagde under telefonsamtalen, at hun skulle aktivere kortet ved at foretage et køb med det, hvilket hun ikke gjorde.

Banken godtgjorde klagerens tab på Visa/dankorttransaktionerne fratrukket 8.000 DKK, men afviste at dække Mastercard Business Debit transaktionerne. Banken har oplyst, at årsagen til afvisningen af Mastercard Business Debit transaktionerne var, at der var tale om en firmakonto. Banken har under klagesagen godtgjort klageren tabet på Mastercard Business Debit transaktionerne fratrukket 8.000 DKK.

Banken har fremlagt et uddrag af klagerens MitID log. Det fremgår heraf, at der den 5. oktober 2023 på klagerens MitID var registreret en MitID-app -2826 (aktiveret den 9. januar 2022) og en MitID-app -5385 (aktiveret den 5. oktober 2023 kl. 13.11 og spærret den 6. oktober 2023 kl. 8.29). Der fremgår endvidere blandt andet følgende aktiviteter den 5. oktober 2023:

Tidspunkt

Hændelse

Alvorlighedsgrad

13.11

App – ny MitID app aktiveret … MitID identifikationsmiddel-ID …[-5385] …

Kritisk

13.11

Midlertidig PIN-kode - til MitID app valideret

Information

13.10

Midlertidig PIN-kode – til MitID app sendt på SMS

Information

13.10

Aktiveringskode – til MitID app valideret

Kritisk

13.09

Aktiveringskode – til ny MitID app oprettet

Kritisk

13.08

App – autentificering lykkedes MitID identifikationsmiddel-ID …[-2826] …

Information

13.08

Godkendelse – logget på med MitID

Information

12.32

Oplysninger – MitID bruger tildelt adgang til at ændre oplysninger i MitID profil

Kritisk

11.31

Oplysninger – MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil

Kritisk

11.30

App – autentificering lykkedes MitID identifikationsmiddel-ID …[-2826] …

Information

11.30

Godkendelse – logget på med MitID

Information

Banken har supplerende oplyst, at forløbet i forbindelse med ændringerne i MitID var som følger:

Før man får adgang til at ændre følsomme oplysninger, herunder oprettelse af en ny MitID-app, skal der logges på brugerprofilen (første pålogning) og anmodes om adgang til at ændre oplysninger og logges af igen. Af sikkerhedsmæssige årsager skal der gå mindst en time, før man kan logge på brugerprofilen igen (anden pålogning) og få adgang til at oprette et nyt identifikationsmiddel. I forbindelse med godkendelsen af første og anden pålogning til brugerprofilen blev klageren i sin eksisterende MitID-app -2826 to gange præsenteret for teksten:

”Godkend følgende?                                                                               

Log på hos MitID.dk for at se eller ændre i din MitID profil”.

Klageren fik samtidig i MitID-appen oplyst følgende tekst:

”Godkendt

Godkendt, fortsæt til MitID.dk”

Ved kritiske hændelser sendes der altid en besked (SMS-besked eller e-mail) til kontaktoplysninger tilknyttet brugerprofilen. Hændelserne i MitID-loggen kl. 11.31 ”MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil” og kl. 12.32 ”MitID bruger tildelt adgang til at ændre oplysninger i MitID profil” var kritiske hændelser. Der blev i den forbindelse sendt SMS’er henholdsvis om, at der var givet adgang til at ændre oplysninger en time senere, og at det nu var muligt at logge på brugerprofilen og ændre oplysninger de næste 24 timer. Modtageren blev samtidig oplyst om at kontakte MitID, hvis modtageren ikke havde bedt om adgangen. Ændring af kontaktoplysninger er også en kritisk hændelse.

Desuden kræver installering af MitID, at der anvendes en aktiveringskode, som genereres på brugerprofilen. Derudover sendes der en midlertidig pinkode enten via SMS-besked eller e-mail til de oplysninger, der fremgår af brugerprofilen. Der blev forud for installation af den nye MitID-app -5385 sendt en midlertidig kode på SMS, hvoraf det fremgik, at koden ikke måtte deles med andre, heller ikke med en, som påstod at komme fra banken eller supporten. Der blev derefter sendt en SMS med oplysning om, at den nye MitID-app var aktiveret og besked om at kontakte MitID, hvis modtageren ikke havde bedt om adgangen.

Banken har oplyst, at klageren i september 2020 i forbindelse med bestilling af det til kontoen knyttede Mastercard Business Debit underskrev en ”Bestilling af Handelsbanken Business Debit”, hvoraf det blandt andet fremgik, at firmaet F erklærede sig indforstået med ”at hæfte for 3. mands misbrug, jf. brugerregler og Lov om betalinger kapitel 6”, og at Kortbestemmelser for Handelsbanken Mastercard Business Debit var gældende. Banken har fremlagt dokument om oprettelse af driftskonto -89, hvor klageren en angivet som kontohaver. Banken har endvidere fremlagt ”Kortbestemmelser for Handelsbanken Debit”, der indeholder en gengivelse af betalingslovens §§ 99 og 100 samt følgende:

”… Definitioner

Korttyper Privatkort

Mastercard Debil udstedes til privatpersoner til privat forbrug.

Firmakort

Mastercard Business Debil udstedes til privatpersoner til brug ved firmakøb. …

Firmakort - firmahæftende

Et Mastercard Business Debil, der anvendes til betaling af udgifter, som kortindehaveren afholder på vegne af sit ansættelsessted/firma.

Firmaet hæfter som udgangspunkt for alle krav, der vedrører udstedelse og brug af kortet. Kortindehaver hæfter i visse situationer personligt og solidarisk for krav, der vedrører brug af kort, jf. punkt 2.21.

 2.10.3 Du skal dække tab op til 8.000 kr., i tilfælde af at kortet har været misbrugt af en anden person, og der har været anvendt den personlige sikkerhedsforanstaltning, og

  • du har undladt at underrette Handelsbanken snarest muligt efter at have fået kendskab til, at kortet er bortkommet, eller at uberettigede har fået kendskab til koden,
  • du med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at du indså eller burde have indset, at der var risiko for misbrug eller
  • du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Du skal højst betale 8.000 kr. i alt, hvis flere af dine kort med samme personlige sikkerhedsforanstaltning er blevet misbrugt i forbindelse med den samme hændelse. Det forudsætter dog, at alle kort med samme personlige sikkerhedsforanstaltning spærres samtidigt. …”

Af bankens Brugerregler - Visa/Dankort fremgår blandt andet: 

”… 10.2           Hæftelse og selvrisiko

… Du skal dække tab op til 8.000 kr., i tilfælde af at dit Visa/Dankort har været misbrugt af en anden person, og der i den forbindelse er anvendt personlig sikkerhedsforanstaltning, og:

  • Du har undladt at underrette Handelsbanken snarest muligt efter at have fået kendskab til, at kortet eller din mobiltelefon med wallet er bortkommet, eller at uberettigede har fået kendskab til sikkerhedsforanstaltningen.
  • Du med forsæt har overgivet sikkerhedsforanstaltningen til den, der har foretaget den uberettigede anvendelse, uden at du indså eller burde have indset, at der var risiko for misbrug.
  • Du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Du skal dog højst betale 8.000 kr. i alt, hvis flere af dine kort med samme sikkerhedsforanstaltning er blevet misbrugt i forbindelse med den samme hændelse. Det forudsætter dog, at alle kort med samme foranstaltning spærres samtidigt. …”

Parternes påstande

Den 14. november 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal dække tabet fuldt ud alene med fradrag af én selvrisiko på 8.000 DKK.

Jyske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hun vedkender sig én selvrisiko på 8.000 DKK, som er betalt.

Banken er forpligtet til at dække tabet med fradrag af én selvrisiko på 8.000 DKK og skal derfor betale de 8.000 DKK, som den har tilbageholdt.

Det er ikke lovmæssigt rimeligt og retfærdigt, at hun to gange skal betale 8.000 DKK i selvrisiko. Hun skal ifølge lovgivningen selv dække de første 8.000 DKK og altså ikke 16.000 DKK, som det nu er tilfældet.

På Forbrugerrådets hjemmeside står: ”Du kan komme til at betale en selvrisiko på op til 8.000 kr. for misbrug af dine konti, hvis du ved groft uforsvarlig adfærd har muliggjort misbruget. Det betyder, at hvis du som forbruger bliver snydt af phishing, men har godkendt overførslen med MitID, så skal du selv dække de første 8.000 kroner af betalingen.”

Hendes sag er én sag om svindel og misbrug af private midler for i alt 65.309,30 DKK med en hændelse den 5. oktober 2023. Det er tydeligt, at der er tale om én samlet sag, selvom 49.975 DKK blev ført ud af banken gennem hendes erhvervskonto og de resterende fra hendes privatkonto.

Banken afslog at dække de 49.975 DKK og sendte ikke en skriftlig begrundelse herfor. Midlerne, som banken hævder, er forbundet med erhverv, kan følges.  Der var blevet flyttet ca. 100.000 DKK fra en privat, fælles konto, som hun havde sammen med sin eksmand til driftskonto -89 kort inden transaktionerne. Der var således tale om private midler.

Jyske Bank har anført, at støtte for frifindelsespåstanden blandt andet anført, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, hvorfor hun hæfter med op til 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4, nr. 3.

Klageren tilgik et link i en falsk besked, der angav at stamme fra MobilePay, hvor hun videregav personlige oplysninger, herunder kortoplysninger. Klageren blev efterfølgende kontaktet af en person, der oplyste at være fra banken, og som narrede klageren til at oprette og aktivere sin MitID-app på en svindlers enhed. Klageren foretog flere godkendelser i sin MitID. Klageren godkendte i sin egen MitID-app to gange med en times mellemrum, at svindleren kunne tilgå hendes MitID-profil og se eller ændre i hendes MitID-profil, herunder oprette en ny MitID-app. Ved godkendelserne i sin MitID-app blev klageren to gange præsenteret for teksten ”Godkend følgende? Log på hos MitID.dk for at se eller ændre i din MitID profil”. Klageren burde dermed have indset, at hun var ved at give adgang til sin MitID brugerprofil til en svindler, så der kunne foretages ændringer, herunder oprettelse af en ny MitID-app med hendes oplysninger, og at hun ikke var i færd med at standse en betaling. Hvis klageren havde læst teksterne, kunne misbruget have være undgået.

Klageren modtog desuden besked fra MitID, hvis der blev foretaget ”kritiske” handlinger på hendes brugerprofil. For eksempel modtog hun en besked efter godkendelsen af handlingen kl. 11.31 ”Oplysninger – MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil”, hvor hun i forbindelse med godkendelse af svindlerens første pålogning blev oplyst om, at der var anmodet om at få adgang til at ændre hendes oplysninger i MitID-profilen. Samlet set modtog klageren adskillige beskeder, der burde have skærpet hendes opmærksomhed og givet hende anledning til at kontakte enten banken eller MitID.

Svindleren godkendte herefter de ikke-vedkendte betalinger i den nye MitID-app på baggrund af de kortoplysninger, som klageren havde videregivet.

Klageren hæfter dermed på baggrund af ovennævnte med 8.000 DKK af tabet vedrørende transaktionerne med Visa/dankortet, jf. ”Brugerregler - Visa/Dankort” punkt 10.2 og for 8.000 DKK af tabet vedrørende transaktionerne med Mastercard Business Debit, jf. ”Kortbestemmelser for Handelsbanken Debit” punkt 2.10.3. På den i sagen omtalte fælles konto indgik i øvrigt større betalinger fra udlejningsbureauer for ferie- og sommerhuse.

Jyske Bank har til støtte for afvisningspåstanden anført, at der foreligger en sådan usikkerhed om det i sagen passerede, at en afgørelse heraf forudsætter en bevisvurdering i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Handelsbanken (nu Jyske Bank), hvor hun havde et Visa/dankort -874. Klageren havde endvidere en driftskonto -89 tilknyttet sin personligt ejede virksomhed, F, med et Mastercard Business Debit -790.

Den 5. oktober 2023 kl. 22.36 og den 6. oktober 2023 kl. 00.51 blev der foretaget to korttransaktioner med klagerens Visa/dankort på i alt 15.334 DKK til en betalingsmodtager, P, som klageren ikke kan vedkende sig. Den 5. oktober 2023 fra kl. 23.01 til 23.28 blev der foretaget fire korttransaktioner med Mastercard Business Debit -790 i GBP, svarende til i alt 49.975,42 DKK, til en betalingsmodtager T, som klageren ikke kan vedkende sig.

Banken har oplyst, at betalingerne blev godkendt i klagerens MitID-app med serienummer -5385, som var installeret den 5. oktober 2023 kl. 13.11, og at betalingerne var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.

Om baggrunden for betalingerne fremgår det, at klageren havde klikket på et link til opdatering af sine kortoplysninger på MobilePay, og at klageren den 5. oktober 2023 blev kontaktet af en person, J, der udgav sig for at være fra banken. I den forbindelse blev der godkendt aktivering af den nye MitID-app -5385 på tredjemands enhed. Det fremgår endvidere af sagen, at klageren i 2020 bestilte et Mastercard Business Debit til firmaet F. Mastercard Business Debit -790 blev efter det oplyste aktiveret den 5. oktober 2023 kl. 15.11. Klageren har oplyst, at hun havde modtaget, men ikke aktiveret Mastercard Business Debit -790, og at svindlerne inden korttransaktionerne med Mastercard Business Debit -790 den 5. oktober 2023 havde overført 100.000 DKK fra en privat fælles konto tilhørende hende og hendes eksmand til driftskonto -89.

Banken godtgjorde klagerens tab på Visa/dankorttransaktionerne fratrukket 8.000 DKK, men afviste oprindeligt at dække Mastercard Business Debit transaktionerne. Banken har under klagesagen godtgjort klageren tabet på Mastercard Business Debit transaktionerne fratrukket 8.000 DKK.

Klageren har anerkendt at hæfte for 8.000 DKK, men bestrider at hæfte for 8.000 DKK vedrørende både klagerens Visa/dankort og klagerens Mastercard Business Debit kort.

Ankenævnet finder, at den del af klagen, der vedrører Mastercard Business Debit kort, der var udstedt til klagerens firma F, adskiller sig væsentligt fra en klage vedrørende privatkundeforhold.

Ankenævnet afviser derfor denne del af klagen i medfør af Ankenævnets vedtægter § 2, stk.  3 og 4.

Da klageren som anført ovenfor anerkender at hæfte for 8.000 DKK, kan Ankenævnet ikke behandle klagen.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.