| Sagsnummer: | 92/2023 |
| Dato: | 06-09-2023 |
| Ankenævn: | Vibeke Rønne, Inge Kramer, Kritte Sand Nielsen, Tina Thy-gesen og Lisbeth Baastrup Burgaard |
| Klageemne: | Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger Afvisning - bevis § 5, stk. 3, nr. 4 |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 kr. af korttransaktion, der blev gennemført som en 3D Secure transaktion ved godkendelse med MitID i forbindelse med phishing. |
| Indklagede: | Nordea Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev gennemført som en 3D Secure transaktion ved godkendelse med MitID i forbindelse med phishing.
Sagens omstændigheder
Klageren var kunde i Nordea Danmark, hvor hun havde en konto med et tilknyttet Visa/dankort.
Fredag den 13. januar 2023 blev klagerens Visa/dankort anvendt til en betaling til en udenlandsk betalingsmodtager, F, på 1.768,41 EUR, som klageren ikke kan vedkende sig.
Klageren har oplyst, at hun den 13. januar 2023 ca. kl. 15 modtog en SMS, der fremstod, som om den kom fra MitID, om at hun skulle opdatere sit betalingskort. Hun klikkede på et link, opdaterede sit betalingskort og godkendte alt med MitID. Umiddelbart herefter slog tanken hende, at det var et fupnummer. Kl. 15:05 ringede hun til banken og spærrede sit Visa/dankort og sit MitID. SMS’en er ikke fremlagt i sagen.
Banken har oplyst, at betalingen med klagerens Visa/dankort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i klagerens MitID-app. Det fremgår af en udskrift fra Nets, at følgende tekst blev sendt til klagerens MitID-app:
”Betal 1768,41 EUR til [F] fra kort xx7156”
Banken har endvidere oplyst, at den har indhentet yderligere oplysninger om transaktionen fra Nets, som bekræfter, at transaktionen ikke er fejlbehæftet. Banken kan bekræfte, at bogføringen er sket korrekt.
Den 19. januar 2023 opdagede klageren, at der den 18. januar 2023 var trukket 13.292,65 DKK til F på hendes konto. Samme dag gjorde klageren over for banken indsigelse mod betalingen og anførte, at hun ikke havde godkendt betalingen. Klageren anførte endvidere følgende:
”Fredag d. 13/1-2023 modtog jeg en SMS fra MitID om at mit betalingskort skulle opdateres. Jeg gik ind gennem link og opdaterede. Alt lignede det ”rigtige MitID”. Lige da jeg havde gjort det stoppede jeg op og tænkte, vent lige, hvorfor skulle de dog sende en SMS. Jeg ringede 2 min efter til Nordea og fik spærret mit kort og mit NemID. Jeg kørte derefter ned fysisk i banken for at bestille nyt kort + oprette nyt MitID. I dag ser jeg til mit store chok at der er blevet hævet hele 13.292,65 DKK fra min konto, tiltrods for min hurtige reaktion i fredags. Håber I kan hjælpe mig”
Banken godtgjorde klagerens tab fratrukket 8.000 DKK svarende til 5.292,65 DKK.
Parternes påstande
Den 2. februar 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal godtgøre hende hele transaktionen og dermed tilbagebetale 8.000 DKK til hende.
Nordea Danmark har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at hun ikke godkendte noget beløb. Hun opdaterede blot sine kortoplysninger og godkendte i MitID.
Fredag den 13. januar 2023 var hendes datters 18 års fødselsdag. Hun tænkte ikke, som hun normalt gør, da var ved at gøre sig klar til den store middag om aftenen. Hun tænkte blot hurtigt, at hun måtte få opdateret sit betalingskort, så der ikke blev problemer, når regningen for middagen om aftenen kom. Hun gik ind gennem linket, opdaterede sit betalingskort og godkendte alt gennem MitID. Alt var sat op på en professionel måde.
Det var først lige efter, at hun havde gjort det, det slog hende, at det var et fupnummer. Få minutter efter ringede hun til banken og spærrede sit Visa/dankort og sit MitID. Hun tænkte, at hun havde handlet så hurtigt, at en eventuel ulovlig hævning ville blive stoppet af banken. Hun er uforstående over for, at banken kunne trække beløbet fem dage efter, at hun havde spærret alt og informeret banken om situationen så hurtigt, som det var muligt.
Da hun den 19. januar 2023 opdagede, at der den 18. januar 2023 var blevet hævet 13.292,65 DKK på hendes konto, kørte hun med det samme ned til banken og lavede en indsigelse på beløbet. Banken bør erstatte hende beløbet, da hun handlede i god tro og blev bedraget.
Hun er blevet snydt. Svindel er svindel. Hun har hørt om lignende sager, hvor kunder i andre pengeinstitutter har fået hele beløbet tilbage. Hun finder det groft, at Nordea Danmark har en anden holdning og dermed laver forskelsbehandling i forhold til sine kunder.
Nordea Danmark har anført, at transaktionen er korrekt gennemført og bogført og i øvrigt ikke er fejlbehæftet.
Med klagerens overgivelse af sine kortoplysninger via det link i den SMS, som hun modtog, gjorde hun det muligt for tredjemand at ”anlægge” en betalingstransaktion, som hun skulle godkende for, at den kunne gennemføres.
Klageren godkendte efterfølgende selv transaktionen i sin MitID-app, hvor hun blev præsenteret for en tekst, som tydeligt angav, hvilket beløb og hvilken betalingsmodtager, denne angik. Til trods herfor, så valgte klageren at godkende gennemførelsen heraf, hvilket er groft uforsvarlig adfærd, jf. betalingslovens § 100, stk. 4, nr. 3, hvorfor banken var berettiget til at opkræve 8.000 DKK i selvrisiko fra klageren.
I øvrigt kunne banken ikke tilbagekalde transaktionen, når først klageren havde godkendt denne, jf. punkt 3.1. i bankens Regler for Dankort og Visa/dankort.
Ankenævnets bemærkninger
Den 13. januar 2023 blev klagerens betalingskort anvendt til en betaling til en udenlandsk betalingsmodtager, F, på 1.768,41 EUR, som klageren ikke kan vedkende sig.
Ankenævnet lægger til grund, at transaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.
Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. § 100, stk. 4, nr. 3.
Banken har anført, at betalingen på 1.768,41 EUR til F blev foretaget af klageren, idet betalingen blev gennemført ved brug af hendes MitID-app. Klageren har anført, at hun ikke godkendte nogen betaling med MitID.
Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug, herunder om der er tale om misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 kr. af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.