| Sagsnummer: | 503/2024 |
| Dato: | 21-03-2025 |
| Ankenævn: | Kristian Korfits Nielsen, Jimmy Bak, Janni Visted Hansen, Morten Bruun Pedersen og Anna Marie Schou Ringive. |
| Klageemne: | Betalingstjenester - ikke-vedkendte hævninger Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt med MitID. |
| Indklagede: | Danske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt med MitID.
Sagens omstændigheder
Klageren var kunde i Danske Bank, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -352.
Banken har fremlagt en udskrift fra klagerens MitID-log, hvoraf blandt andet fremgår, at MitID -884 blev oprettet den 6. april 2022 på en iPhone 11 Pro.
Den 15. februar 2023 blev der gennemført en kortbetaling på 2.634,99 EUR svarende til 19.640,51 DKK med klagerens betalingskort -352 til en udenlandsk betalingsmodtager, betalingsmodtager B, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation med klagerens MitID -884. Banken har fremlagt en udskrift fra bankens eget system med teksten, der blev sendt til klagerens MitID i forbindelse med godkendelsen af betalingen. Af teksten fremgår:
”Betal 2634,99 EUR til [betalingsmodtager B] fra kort [-352]”
Klageren har anført, at hun med sit MitID bekræftede nogle oplysninger, men at hun ikke godkendte en betaling. Klageren gjorde indsigelse mod betalingen ved tro og love-erklæring af 17. februar 2023. Af indsigelsen fremgår:
”…
Jeg, [klagerens navn], attesterer herved, at jeg ikke har godkendt eller deltaget i ovennævnte transaktion.
…”
Banken godtgjorde klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 11.640,51 DKK til klagerens konto.
Den 22. februar 2023 gjorde klageren indsigelse mod bankens afgørelse.
Den 1. marts 2023 fastholdt banken sin afgørelse.
Den 4. oktober 2024 indbragte klageren sagen for Ankenævnet.
Parterne havde efterfølgende korrespondance vedrørende bankens afgørelse. Heraf fremgår en henvendelse af 17. december 2023 fra klageren til Digitaliseringsstyrelsen. Af henvendelsen fremgår:
”…
Jeg vil gene påpege, at jeg har aldrig godkendte et beløb via MitID.
Der kom en push up anmodning om at bekræfte mine oplysninger via MitID (UDEN BELØB). Jeg troede at det var MitID det ønskede min bekræftelse, og swipede da jeg troede at MitID var et sikkert system.
Men MitID beskyttede ikke min adgang til Danske bank, da det åbenbart var nemt for kriminelle at sende sådanne push-up-anmodning ( i starten af 2023). Et bevis på hvor "hullet" systemet var, er at man senere i 2023 indførte QR kode.
…”
Parternes påstande
Klageren har nedlagt påstand om, at Danske Bank skal godtgøre hende 8.000 DKK.
Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at kortbetalingen ikke blev autoriseret gennem et sikkert system. Den besked, hun modtog, sendte hende direkte til sit MitID, uden at hun skulle autorisere login, det vil sige ingen QR-kode og ingen andre sikkerhedsforanstaltninger. Beskeden indeholdt en anmodning om bekræftelse af hendes oplysninger. Der stod intet anført om beløb eller modtager af et beløb.
Det er derfor ikke korrekt, at hun autoriserede en overførsel. Hun har forespurgt hos MitID, om det er muligt at genskabe nøjagtigt den tekst, der fremkom på hendes skærm, men desværre uden resultat. Hvis en tekst med et beløb fremkommer hos banken, har dette været skjult på hendes telefon og er dermed en del af forbrydelsen.
Hun har således ikke videregivet sine kontooplysninger til tredjemand, medmindre det er sket uden hendes kendskab. Er noget sådant sket, er det gennem det tilsyneladende usikre system, som banken tilbyder sine kunder. Hvis banken ikke har teknisk ekspertise til det, må banken tage de økonomiske konsekvenser, det måtte medføre, i stedet for at påføre kunderne en udgift for en utilstrækkelig IT-løsning.
Det finansielle ankenævn har truffet en principiel afgørelse vedrørende korttransaktioner, som kortholder ikke kan vedkende sig. Afgørelsen skulle indebære, at kortholder ikke hæfter for misbrug.
Hun er blevet bekendt med, at en lokal fynsk bank af egen drift orienterede en kunde, der havde været udsat for nogenlunde samme svindel, om, at Det finansielle ankenævn havde truffet en sådan afgørelse og uopfordret tilbagebetalte en opkrævet selvrisiko på 8.000 DKK. Banken er blevet gjort opmærksom på dette, men fastholder sin tidligere beslutning og afviser at genoptage sagsbehandlingen.
Som forbruger er man overladt til de sikkerhedsforanstaltninger, som MitID og i hendes tilfælde banken sætter op. Når sikkerhedsforanstaltningerne ikke virker, er det med undren og vrede, at de pågældende institutioner løber fra ethvert ansvar. Som almindelig bankkunde og borger i dette samfund, er der intet alternativ til disse elektroniske løsninger, men med de overordentligt ringe sikkerhedsbarrierer begge systemer leverer, burde der tilbydes bankkunder alternativer.
Derudover var det hendes mand og ikke hende, der den 10. oktober 2024 blev ringet op af banken, som indledte en længere samtale om sagen. Dette er sandsynligvis en overtrædelse af GDPR-lovgivningen, da det ikke skete med hendes godkendelse og kendskab.
Danske Bank har til støtte for frifindelsespåstanden anført, at kortbetalingen er korrekt registeret og bogført. Kortbetalingen blev autoriseret med klagerens MitID-app og dermed godkendt med stærk kundeautentifikation. MitID-appen var i klagerens besiddelse på tidspunktet for godkendelse af betalingen. Det må på den baggrund lægges til grund, at klageren selv autoriserede betalingen.
Klageren blev sandsynligvis udsat for phishing og må i den forbindelse have videregivet sine kortoplysninger til tredjemand, der muliggjorde betalingsanmodningen.
Det fremgik af godkendelsesteksten, at betalingsmodtageren var betalingsmodtager B, og at beløbet på 2.634,99 EUR ville blive trukket på klagerens betalingskort. Det måtte således være klart for klageren, at hun var ved at foretage en betaling på det pågældende beløb til en ukendt modtager.
Klageren befandt sig ikke i en presset situation i forbindelse med udleveringen af sine kortoplysninger og efterfølgende godkendelse af betalingen.
Klageren muliggjorde således ved groft uforsvarlig adfærd betalingen, hvorfor klageren hæfter med 8.000 DKK i henhold til betalingslovens § 100, stk. 4. Klageren var derfor alene berettiget til en godtgørelse på 11.640,51 DKK.
Banken er ikke bekendt med den pågældende ankenævnsafgørelse, som klageren henviser til.
Banken kan ikke genkende klagerens påstand om, at banken skulle have kontaktet hendes ægtefælle telefonisk den 10. oktober 2024 vedrørende hendes klagesag.
Banken har i øvrigt ikke handlet ansvarspådragende.
Banken har til støtte for afvisningspåstanden anført, at klagerens påstand om, at hun ikke har noget kendskab til betalingen, ikke hænger sammen med bankens oplysninger om, at hun blev præsenteret for både beløbsmodtager og beløb i MitID-app’en, som var installeret på hendes telefon, der var i hendes besiddelse på tidspunktet for godkendelse af betalingen.
En vurdering af sagen vil derfor kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. vedtægternes § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Danske Bank, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -352.
Den 15. februar 2023 blev der gennemført en kortbetaling på 2.634,99 EUR svarende til 19.640,51 DKK med klagerens betalingskort -352 til en udenlandsk betalingsmodtager, betalingsmodtager B, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation med klagerens MitID -884, og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 2634,99 EUR til [betalingsmodtager B] fra kort [-352]”
Klageren har anført, at hun med sit MitID bekræftede nogle oplysninger, men at hun ikke godkendte en betaling.
Banken godtgjorde klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 11.640,51 DKK til klagerens konto.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Kristian Korfits Nielsen, Jimmy Bak og Janni Visted Hansen – udtaler:
Efter de foreliggende oplysninger lægger vi til grund, at klageren må have godkendt betalingen på 2.634,99 EUR med sit MitID.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, hvor hun fik oplysninger om beløbet på 2.634,99 EUR og beløbsmodtager B, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Morten Bruun Pedersen og Anna Marie Schou Ringive – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, Danske Bank skal tilbageføre 7.625 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.