Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion. Aktivering/indrullering af MitID på svindlers enhed.

Sagsnummer:604/2023
Dato:14-11-2024
Ankenævn:Helle Korsgaard Lund-Andersen, Morten Winther Christensen, Jimmy Bak, Tina Thygesen og Jørn Ravn
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion. Aktivering/indrullering af MitID på svindlers enhed.
Indklagede:Sydbank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion. Aktivering/indrullering af MitID på svindlers enhed.

Sagens omstændigheder

Klageren var kunde i Sydbank, hvor han blandt andet havde en konto med et tilknyttet betalingskort -043.

Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf blandt andet fremgår, at klageren den 28. februar 2022 aktiverede MitID -780 på en Samsung Galaxy A52.

Klageren har oplyst, at han den 16. august 2023 modtog en SMS i en eksisterende SMS-tråd med MobilePay, og som fremstod at være fra MobilePay. Tredjemand forsøgte via denne SMS at phishe klagerens kontooplysninger, men klageren fattede mistanke og undlod at oplyse sine kontooplysninger. Samme dag blev klageren kontaktet af en person N, der udgav sig for at være ansat i banken. Person N anmodede klageren om at bekræfte, at han var ved at sende 300 EUR til en konto i udlandet. Sammen med person N fik klageren ændret sine loginoplysninger til bankens services og MitID. Person N oplyste klageren, at der ville gå en time, før man kunne bekræfte ændringen. Person N tilbød derfor klageren at kontakte ham igen om en time.

Klageren har oplyst, at han blev mistænksom, og at han undersøgte telefonnummeret i Google, hvor det ikke fremgik, at telefonnummeret blev anvendt af svindlere. Telefonnummeret var identisk med bankens telefonnummer. Han ringede alligevel til telefonnummeret fra sin firmatelefon og kom i kø til bankens kundeservice, hvorefter han lagde på. Klageren har herudover oplyst, at person N kontaktede klageren en time senere, hvor person N blandt andet bekræftede, at klageren ikke havde en iPhone men en Samsung Galaxy A52, og at person N var bekendt med klagerens adresse. Person N skabte herved, og med den hjælp han ydede, tillid hos klageren.

Banken har fremlagt udskrifter af klagerens MitID-log, hvoraf fremgår, at MitID -780 blev anvendt til at logge på MitID, og at MitID-brugeren herefter anmodede om adgang til at ændre oplysninger i MitID-profilen.

Banken har oplyst, at klageren i den forbindelse modtog en SMS fra MitID med følgende indhold:

”Du har bedt om adgang til at ændre oplysninger på MitID.dk og kan logge på om 1 time.

Har du ikke bedt om adgang? Ring til MitID support +4533980010.”

Banken har oplyst, at klageren én time senere modtog endnu en SMS fra MitID med følgende indhold:

”Du har nu adgang til at logge på MitID.dk og ændre oplysninger i 24 timer.

Har du ikke bedt om adgang? Ring til MitID support +4533980010.”

Herefter blev MitID-brugeren tildelt adgang til at ændre oplysninger i MitID, hvorefter godkendelsesforanstaltningen blev ændret fra QR-kode til OTP (One-Time-Password), som blev sendt til klagerens e-mail, som var den i MitID registrerede e-mailadresse.

Banken har oplyst, at klageren modtog en e-mail på sin e-mailadresse, hvoraf fremgik:

”Midlertidig kode til MitID app: [XXX]

VIGTIGT: Del aldrig denne kode med andre. Heller ikke med én, som påstår at komme fra banken eller supporten.

…”

Efter indtastningen af den midlertidige kode blev MitID -859 aktiveret. 

Af klagerens MitID-log fremgår blandt andet, at MitID -859 blev aktiveret den 16. august 2023 på en iPhone 15. Det fremgår herudover, at der den 17. august 2023 blev aktiveret et MitID -735 på en iPhone 15.

Den 17. august 2023 kl. 00:36, 00:48 og 01:01 blev der foretaget tre betalinger på 10.000 DKK, 10.050 DKK og 5.000 DKK svarende til i alt 25.050 DKK med klagerens betalingskort til tre udenlandske betalingsmodtagere A, B og C, som klageren ikke kan vedkende sig. Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf fremgår, at autentificering med MitID -859 den 17. august 2023 kl. 00:36, 00:48 og 01:01 lykkedes, og har anført, at betalingerne blev godkendt med klagerens MitID      -859, som var installeret på tredjemands iPhone 15.

Klageren har oplyst, at han om morgenen den 17. august 2023 konstaterede svindlen, hvorfor han straks spærrede sit MitID og betalingskort. Det fremgår af klagerens MitID-log, at MitID -780 blev spærret den 17. august 2023 kl. 02:15, og at MitID -850 og -735, som blev installeret på tredjemands iPhone 15 blev spærret den 17. august 2023 kl. 10:11.

Ved indsigelsesblanket af 21. august 2023 gjorde klageren indsigelse mod betalingerne. Af indsigelsesblanketten fremgår, at klageren hverken havde deltaget i eller godkendt betalingerne. Herudover fremgår:

”…

Udleverede oplysninger

Mit id hjalp han med at ændre, og stjal oplysninger ved at hacke det. Mastercard for at spærre det på en iphone, da han kunne se jeg brugte en samsung a52. Mit pas nr, da jeg skulle bekræfte min identitet.

…”

Den 29. august 2023 meddelte banken klageren, at den havde kontaktet betalingsmodtagerne og forsøgt at få beløbene refunderet, men at dette ikke var muligt. Banken meddelte klageren herudover, at den ville godtgøre klagerens tab med fradrag af 8.000 DKK.

Den 11. september 2023 gjorde banken indsigelse mod bankens afgørelse af 29. august 2023.

Den 21. september 2023 fastholdt banken sin afgørelse af 29. august 2023.

Parternes påstande

Den 3. oktober 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Sydbank skal godtgøre ham 6.000 DKK.

Sydbank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han er blevet svindlet.

Han ønsker ikke at betale en selvrisiko på 8.000 DKK, men erkendte, at han havde et ansvar. Han havde foreslået banken at betale en selvrisiko på 2.000 DKK eller et andet beløb i dette leje, da dette svarede til det, han betalte i selvrisiko for sine forsikringer. Banken afviste dette forslag. Han forstår godt, at der skal være en selvrisiko, ligesom ved en bilforsikring, men hvem bestemmer, at den skal være på 8.000 DKK? Han valgte en selvrisiko på sin bil, som han havde råd til at betale. Hvis de 8.000 DKK bliver fastholdt, så vil han skifte bank, da han ikke har råd til at være kunde i banken.

Svindleren gav ham en række oplysninger om, hvem han var, hvilken telefon han brugte og skabte herved tillid. Han var tidligere blevet kontaktet af banken, så derfor vækkede det ikke mistanke.

Han fattede mistanke midt i forløbet, og foretog derfor en række undersøgelser, blandt andet om telefonnummeret var ægte, og om telefonnummeret blev anvendt til svindel, men fik ro i sindet, da han konstaterede, at telefonnummeret tilhørte bankens kundeservice.

Han giver normalt ikke sine oplysninger til andre, men han har tidligere meddelt banken sit CPR-nummer, så han fandt det ikke yderligere besynderligt.

Han forstår, at han bærer et stort ansvar i sagen, men han forsøgte at handle forsvarligt ved at dobbelttjekke nummeret, ikke at give oplysninger via SMS, selvom SMS’en og den hjemmeside, han tilgik, virkede 100 % legitime.

Forbrugerrådet TÆNK har meddelt ham, at han bør klage, da der er tale om en gråzone, sammenholdt med at han har forsøgt at gardere sig, så godt han kunne.

Banken gjorde ikke nok for at stoppe svindlerne eller informere sine kunder om svindlen. 

Sydbank har anført, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Det fremgår af klagerens MitID-log, at klageren gentagende gange har godkendt, at tredjemand fik adgang til klagerens MitID-profil på MitID.dk. Ved at give tredjemand adgang til MitID.dk, var det muligt for tredjemand at oprette MitID på tredjemands enhed, som var kontrolleret af tredjemand. Alle tre betalinger blev godkendt i MitID    -859.

En bankmedarbejder vil aldrig bede om adgang til at tilgå kunders MitID-profil. MitID-løsningen herunder MitID.dk er en personlig digital løsning, hvilket fremgår af MitID.dk og direkte af navnet.

Da klageren modtog valideringskoden til tredjemands MitID fremgik det, at koden aldrig måtte deles med andre og heller ikke med personer, der påstod at være fra banken eller bankens kundeservice.

Klageren burde have været klar over, at det var en svindler, han talte med.

Da klageren har oplyst sine kortoplysninger, inkl. den trecifrede kontrolkode, fik svindleren mulighed for at oprette og godkende betalinger.

Betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. 

Da banken allerede har godtgjort klageren den del af tabet, der overstiger 8.000 DKK, bør banken frifindes.

Ankenævnets bemærkninger

Klageren var kunde i Sydbank, hvor han blandt andet havde en konto med et tilknyttet betalingskort -043.

Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf blandt andet fremgår, at klageren den 28. februar 2022 aktiverede MitID -780 på en Samsung Galaxy A52.

Banken har fremlagt udskrifter af klagerens MitID-log, hvoraf fremgår, at MitID -780 blev anvendt til at logge på MitID.dk, og at MitID-brugeren herefter anmodede om adgang til at ændre oplysninger i MitID-profilen.

Banken har oplyst, at klageren i den forbindelse modtog en SMS fra MitID om, at han havde anmodet om adgang til at ændre oplysninger på MitID.dk, og at han kunne logge på og foretage ændringer en time efter. En time senere modtog klageren endnu en SMS fra MitID med besked om, at han havde adgang til at ændre oplysninger i 24 timer. Af begge SMS’er fremgik herudover, at klageren skulle ringe til MitID support, hvis han ikke havde anmodet om adgang. Godkendelsesforanstaltningen blev herved ændret fra QR-kode til OTP (One-Time-Password).

Herefter blev der bestilt en midlertidig kode (OTP) til oprettelse af et nyt MitID. Den midlertidige kode blev sendt til den i MitID registrerede e-mailadresse, som ifølge banken var klagerens e-mailadresse. Af e-mailen fremgik herudover, at man aldrig måtte dele koden med andre, heller ikke personer, der påstod at komme fra banken eller bankens kundesupport. Af klagerens MitID-log fremgår blandt andet, at MitID     -859 blev aktiveret den 16. august 2023 på en iPhone 15.

Den 17. august 2023 kl. 00:36, 00:48 og 01:01 blev der foretaget tre betalinger på 10.000 DKK, 10.050 DKK og 5.000 DKK svarende til i alt 25.050 DKK med klagerens betalingskort til tre udenlandske betalingsmodtagere A, B og C, som klageren ikke kan vedkende sig. Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf fremgår, at autentificering med MitID -859 den 17. august 2023 kl. 00:36, 00:48 og 01:01 lykkedes, og har anført, at betalingerne blev godkendt med klagerens MitID      -859, som var installeret på tredjemands iPhone 15.

Klageren har oplyst, at han blev kontaktet af en person N, der udgav sig for at være ansat i banken, som meddelte ham, at nogen var ved at overføre 300 EUR til en konto i udlandet. Sammen med person N fik klageren ændret sine loginoplysninger til bankens services og MitID. Klageren har oplyst, at han blev mistænksom og undersøgte person N’s telefonnummer i Google, men at der ikke heraf fremgik, at nummeret blev anvendt til svindel. Klageren ringede til telefonnummeret, som var identisk med telefonnummeret til bankens kundeservice. Klageren har oplyst, at han kom i kø til kundeservice og at han lagde på. Da person N senere oplyste ham om, at han havde en Samsung Galaxy-telefon og om klagerens adresse, vurderede han, at person N var troværdig.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Helle Korsgaard Lund-Andersen, Morten Winther Christensen og Jimmy Bak – udtaler:

Vi lægger til grund, at klageren må have videregivet sine kortoplysninger og sine personlige MitID-oplysninger til tredjemand, hvorved tredjemand har kunnet foretage aktivering af et nyt MitID-identifikationsmiddel på sin egen enhed og foretage de ikke-vedkendte transaktioner.  

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse af sit betalingskort. Klageren skal som følge heraf hæfte med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Tina Thygesen og Jørn Ravn – udtaler:

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have handlet som sket.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, der muliggør misbruget.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.

Der træffes afgørelse efter stemmeflertallet.

Klageren får herefter ikke medhold i klagen.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.