Indsigelse mod at hæfte for 8.000 DKK af korttransaktioner. Aktivering/indrullering af MitID-app på svindlers enhed.

Sagsnummer:684/2023
Dato:30-08-2024
Ankenævn:Helle Korsgaard Lund-Andersen, Inge Kramer, Karin Sønderbæk, Morten Bruun Pedersen og Elizabeth Bonde.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for 8.000 DKK af korttransaktioner. Aktivering/indrullering af MitID-app på svindlers enhed.
Indklagede:Nordea Danmark, filial af Nordea Bank Abp, Finland
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktioner. Aktivering/indrullering af MitID-app på svindlers enhed.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun havde en konto med et tilknyttet Visa/dankort.

Den 8. oktober 2023 kl. 20:15 og kl. 20:17 blev der foretaget to korttransaktioner med klagerens betalingskort på henholdsvis 449,04 EUR og 648,50 EUR til en udenlandsk betalingsmodtager, F, som klageren ikke kan vedkende sig. Af en transaktionsliste fra Nets fremgår, at korttransaktionerne blev godkendt med 3D Secure.

Den 8. oktober 2023 senere om aftenen opdagede klageren, at hun havde været udsat for svindel og kontaktede banken. Hun fik oplyst, at hendes kort allerede var blevet spærret af Nets grundet mistænkelig aktivitet.

Den 16. oktober 2023 blev der trukket henholdsvis 3.365,82 DKK og 4.860,88 DKK, i alt 8.226,70 DKK, og klageren gjorde herefter indsigelse mod transaktionerne over for banken. Hun gjorde ligeledes indsigelse mod to mindre transaktioner, som hun efterfølgende har erkendt må være foretaget af hende selv. Hun anførte følgende om hændelsesforløbet:

”On Sunday 8th of October I tried to sell an item online. The person didn’t live in CPH area & asked if I could send the item via DAO. After checking with a DK friend the validity of this DAO shipping method I entrusted the person online & started the process. In order to receive the money I was asked to enter my card details, it said DAO on the page & I believed it was the regular & safe way.

Later I noticed the person from FB market had left the conversation. This is when I contacted the bank thinking that was a scam. The person from Nordea told me my card had already been blocked after the bank noticed some suspicious transactions before I called. I was told to go to my nearest Nordea branch the next day in order to sign & order a new bank card.

I was advised to shut down & create a new MitID. On October 11th when my MitID was accessible again I could access my online banking & no suspicious transaction was visible but on 15/10/23 I noticed 2 big transactions of 4860,88 & 3365,82.”

Banken opgjorde fejlagtigt det beløb, som klageren havde gjort indsigelse mod til 6.368,70 DKK og meddelte klageren, at hun selv hæftede for 8.000 DKK.

Herefter klagede klageren til banken over afgørelsen.

I en mail af 1. november 2023 til klageren anførte banken blandt andet:

”After reviewing your complaint regarding dispute case I can conclude that the decision made is correct and fully in accordance with Nordea’s practice. It is therefore my conclusion that there is no basis for reimbursing you. My conclusion is based on the fact that you approved the installation of a MitID app on a fraudster mobile phone. The installation of the MitID-app then made it possible for the fraudster to do the transaction. The installation was approved in your Mobile phone with your MitID October 8. at 18.22 and 19.22. Furthermore the temporary access code that was sent to your mobile phone at 19.56 was used to finalize the installation. You can also see the approval via your page on MitID.dk. I enclose a test example of the picture/information you swiped approve to.

…”

Banken har oplyst, at der den 8. oktober 2023 blev aktiveret en ny MitID-app -5820 på en fremmed enhed, som blev godkendt med klagerens MitID-app -1902.

Banken har fremlagt en oversigt over de generiske, men ufravigelige tekster, der fremkommer ved indrullering af en ny MitID-app:

Kundens deltagelse

Godkendelse i MitID-app

Godkendelse i MItID-app

Brugernavn til MitID udleveres af kunden

Kunden godkender 2 gange i egen MitID-app

 

 

 

  1. swipe for teksten

Log på hos MItID.dk for at se eller ændre i din MitID profil

Besked i MitID-app til kunden samt SMS:

Du har bedt om adgang til at ændre oplysninger på MitID.dk og kan logge på om 1 time.

Har du ikke bedt om adgang ? Ring til MitID support på +45 33980010.

Efter 1 time:

Besked i MitID-app til kunden samt SMS

Du har nu adgang til at logge på MitID.dk og ændre oplysninger i 24 timer.

 Har du ikke bedt om adgang ? Ring til MitID support på +45 33980010.

  1. swipe for teksten

Log på hos MItID.dk for at se eller ændre i din MitID profil

Besked til kunden via SMS:

Midlertidig PIN-kode til MitID app: xx xx xx xx (Nummer)

VIGTIGT: Del aldrig denne kode med andre. Heller ikke med en som påstår at komme fra banken eller support.

Udleveres af kunden

 

Banken har fremlagt en udskrift af klagerens MitID-hændelseslog med bankens kommentarer, hvoraf fremgår, at klagerens MitID havde et aktivt identifikationsmiddel med nummer -1902, der blev aktiveret den 1. december 2022, samt at hendes egen enhed var en iPhone SE. Ligeledes fremgår det, at der med samme identifikationsmiddel blev foretaget flere handlinger:

Kunden åbner op for ændringer af MitID-oplysninger kl. 18.22

 

 

08-10-2023 18:22:38.629 CEST

App-autentificering lykkedes

Information

Kunden swiper ”godkend” kl. 18.22

 

 

08-10-2023 18:22:16.170 CEST

Oplysninger – MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil

Kritisk

Kunden swiper herefter igen ”godkend” kl. 19.22

 

 

08-10-2023 19:22:35.507 CEST

Oplysninger – MitID bruger tildelt adgang til at ændre oplysninger i MitID profil

Kritisk

MitID app bliver herefter hentet ned på tredjemands telefon

 

 

08-10-2023 19:56:59.744 CEST

Midlertidig PIN-kode til MitID app sendt på SMS

Information

Den udleverede pinkode fra kunden indtastes af tredjemand i den nye MitID-app for aktivering

 

 

08-10-2023 19:57:43.444 CEST

Midlertidig PIN-kode – til MitID app valideret

Information

Tredjemands MitID-app er nu installeret og aktiveret

 

 

08-10-2023 19:57:49.162 CEST

App – ny MitID app aktiveret

Kritisk

Den 12. november 2023 indbragte klageren sagen for Ankenævnet.

Banken har under sagens forberedelse i Ankenævnet tilbagebetalt 226,70 DKK til klageren og har beklaget, at der var sket en regnefejl, og at klageren rettelig havde gjort indsigelse mod 8.226,70 DKK og selv hæfter for 8.000 DKK.

Parternes påstande

Klageren har nedlagt påstand om, at Nordea Danmark skal betale 8.000 DKK.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har blandt andet anført, at hendes MitID under hele denne svindel blev brugt ulovligt. Banken anfører, at hun godkendte installation af sit personlige MitID på svindlerens enhed, men dette var en del af svindlen. Det ville hun aldrig have gjort, hvis hun havde været klar over, at hun blev udsat for svindel.

Svindleren tog kontrol over hendes MitID, og ??hun var derfor ikke i stand til at se eller validere de overførsler, som banken ikke formåede at blokere.

Banken kan ikke holde hende ansvarlig for noget, som hun faktisk var offer for.

Nordea Danmark har anført, at de omhandlede betalingstransaktioner blev korrekt registreret og bogført og ikke var ramt af tekniske svigt eller andre fejl.

Klagerens Visa/dankort blev brugt af tredjemand efter brug af den af klageren udleverede midlertidige adgangskode. Dette kunne alene ske ved, at klageren gennem sin MitID-app godkendte indrulleringen af sit MitID på tredjemands enhed.

Det må lægges til grund, at klageren blev præsenteret for følgende tekster, idet dette er systemunderstøttet: ”Du har bedt om adgang til at ændre oplysninger på MitID.dk og kan logge på om 1 time. Har du ikke bedt om adgang? Ring til MitID support på +45 33980010.” og ”Du har nu adgang til at logge på MitID.dk og ændre oplysninger i 24 timer. Har du ikke bedt om adgang? Ring til MitID support på +45 33980010”.

Klageren godkendte via MitID-app indrullering af sit MitID på tredjemands enhed. Hun blev i godkendelsesbeskederne i MitID-appen tydeligt gjort opmærksom på, at det angik ændringer i hendes MitID og MitID profil, og hun fik udleveret midlertidig pinkode med tydelig besked om, at koden ikke måtte videregives: ”Midlertidig PIN-kode til MitID app: xx xx xx xx (Nummer) VIGTIGT: Del aldrig denne kode med andre. Heller ikke med en som påstår at komme fra banken eller support.”

Trods disse tydelige angivelser om, hvad klageren var ved at godkende, valgte hun at swipe til godkendelse heraf. Og med godkendelsen fulgte, at klagerens Visa/dankort nu var brugbart som følge af både (1) klagerens videregivelse af oplysninger herom via det fremsendte link (2) indrullering af klagerens MitID på tredjemands enhed og (3) udlevering af midlertidig pinkode til klagerens MitID.

Det bør fremhæves, at transaktionerne ikke ville være blevet gennemført, hvis klageren alene havde udleveret af oplysninger om sit Visa/dankort via det pågældende link som følge af Nordeas sikkerhedsforanstaltninger. Dette krævede, at klageren både godkendte ændring af MitID, samt videregav den midlertidige pinkode til tredjemand.

At klageren valgte at overgive sine kortoplysninger, godkende de meddelelser, som hun blev præsenteret for i MitID-appen, samt at udlevere oplysning om midlertidig pinkode til sit MitID, er at betragte som groft uforsvarlig adfærd, hvorfor banken var berettiget til at tage 8.000 DKK i selvrisiko, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnets bemærkninger

Klageren var kunde i Nordea Danmark, hvor hun havde en konto med et tilknyttet Visa/dankort.

Den 8. oktober 2023 kl. 20:15 og kl. 20:17 blev der foretaget to korttransaktioner med klagerens betalingskort på henholdsvis 449,04 EUR og 648,50 EUR til en udenlandsk betalingsmodtager, F, som klageren ikke kan vedkende sig.

Banken meddelte klageren, at hun selv hæftede for 8.000 DKK.

Klageren har anført, at hun havde en genstand til salg online, og at hun blev svindlet til at godkende en DAO forsendelse.

Banken har anført, at klageren med sin MitID-app den 8. oktober 2023 godkendte installation af en ny MitID-app på en fremmed enhed, hvorfra betalingerne blev godkendt. Det forhold at klageren valgte at overgive sine kortoplysninger, godkende de meddelelser, som hun blev præsenteret for i MitID-appen, samt at udlevere oplysning om midlertidig pinkode til sit MitID trods tydelig besked om, at denne aldrig måtte blive delt, er at betragte som groft uforsvarlig adfærd, hvorfor banken var berettiget til at tage 8.000 DKK i selvrisiko, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket heller ikke er bestridt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Banken har under sagens forberedelse i Ankenævnet tilbagebetalt 226,70 DKK til klageren og har beklaget, at der var sket en regnefejl, og at klageren rettelig havde gjort indsigelse mod 8.226,70 DKK og selv hæfter for 8.000 DKK.

Tre medlemmer – Helle Korsgaard Lund-Andersen, Inge Kramer og Karin Sønderbæk – udtaler:

Vi lægger til grund, at klageren har videregivet sine betalingskort- og MitID-oplysninger til tredjemand. Vi finder herefter, at det må lægges til grund, at klageren den 8. oktober 2023 har godkendt aktiveringen af en ny MitID-app på tredjemands enhed i sin MitID-app, hvorved en svindler har kunnet foretage de omtvistede betalinger.

Vi finder, at banken har godtgjort, at klageren derved ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. Klageren skal som følge heraf hæfte med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Elizabeth Bonde – udtaler:

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren ved at blive snydt af en professionel svindler har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have handlet som sket.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, der muliggør misbruget.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3. 

Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren. 

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.

Klageren får klagegebyret tilbage.