Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagsnummer:184/2024
Dato:14-11-2024
Ankenævn:Helle Korsgaard Lund-Andersen, Morten Winther Christensen, Kritte Sand Nielsen, Tina Thygesen og Jørn Ravn.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Indklagede:Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor han blandt andet havde en konto med et tilknyttet betalingskort -0149.

Den 3. februar 2024 blev der gennemført en kortbetaling på 1.467 EUR svarende til 10.937,40 DKK med klagerens betalingskort til en betalingsmodtager, W, som klageren ikke kan vedkende sig.

Klageren har oplyst, at han efter en onlinehandel hos en forretning, P, skulle betale fragt på 38 DKK for at modtage en gave, og at han godkendte med MitID. Da han havde godkendt, kom der en besked om, at forsendelsen ville blive pålagt udenlandsk porto. Han blev forvirret og kontaktede banken, som oplyste, at der netop var trukket et beløb på 10.937,40 DKK på hans konto. Han bad banken om at spærre kontoen.

Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -1178, som var aktiveret den 20. juni 2022. Banken har fremlagt en udskrift fra sit system med teksten, der blev sendt til MitID-app i forbindelse med godkendelsen af betalingen. Af teksten fremgik:

”Betal 1467,00 EUR til [W] fra kort -0149.”

Banken har oplyst, at transaktionen var korrekt registreret og bogført.

Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf det blandt andet fremgår, at MitID -1178 blev aktiveret den 20. juni 2022.

Betalingen blev bogført på klagerens konto den 6. februar 2024. Den samme dag gjorde klageren indsigelse mod betalingen over for banken.

Den 7. februar 2024 godtgjorde banken klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 2.937,40 DKK til klagerens konto.

Klageren gjorde indsigelse mod bankens afgørelse.

Parternes påstande

Den 23. marts 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal godtgøre ham 8.000 DKK.

Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at han efter en onlinehandel hos en forretning for at modtage en gave skulle betale fragt på 38 DKK, som han godkendte med MitID. Han var udsat for manipulation.

Da han havde godkendt, kom der en besked om, at forsendelsen ville blive pålagt udenlandsk porto, og at beløbet ville være i udenlandsk valuta. Det undrede ham, når han handlede på en dansk hjemmeside. Der blev han klar over, at noget var rivende galt og kontaktede Danske Bank.

Han bad med det samme banken spærre kontoen. Banken burde have tilbageført beløbet, når banken var bekendt med, at det var svindel. Han kontaktede også MitID for at høre, om han kunne få en udskrift på transaktionen. Det kunne han ikke!

Han ringede til MitID, men fik besked om, at de ikke måtte udlevere selve godkendelsesprocessen, men i en sag som denne, burde det kunne bruges som bevis. Han kan ikke forstå, at MitID ikke kan bekræfte hans oplysninger.

Han har forgæves forsøgt at få en kopi af transaktionen på 38 DKK, men banken påstår, at det er 10.937,40 DKK, han har godkendt, hvilket ikke er korrekt. Han har kun godkendt 38 DKK.

Banken henviser til betalingslovens § 100 og anfører, at hans egen risiko er på 8.000 DKK. Han opfylder alle krav i betalingslovens § 100, der gør, at han ikke selv skal hæfte for de 8.000 DKK.

Han forstår ikke, at Danske Bank har samvittighed til, at en brist i et ikke sikkert system skal gå ud over en ældre pensionist.

Han har som pensionist og kunde i Danske Bank i de sidste 50 år krav på, at banken ikke fortolker § 100 så ensidigt til egen fordel.

Danske Bank har til støtte for frifindelsespåstanden anført, at transaktionen er korrekt registreret og bogført.

Korttransaktionen er autoriseret med klagerens MitID-app og dermed godkendt med stærk kundeautentifikation. MitID-app’en var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen. På den baggrund må det lægges til grund, at klageren selv autoriserede betalingen, omend uforvarende.

Klageren videregav selv sine kortoplysninger til tredjemand, hvilket muliggjorde betalingsanmodningen. Det fremgik af godkendelsesteksten i klagerens MitID-app, at betalingsmodtageren var W, og at beløbet på 10.937,40 DKK ville blive trukket på klagerens betalingskort. Det måtte være klart for klageren, at han var ved at foretage en betaling på det pågældende beløb til den pågældende betalingsmodtager.

Klageren befandt sig ikke i en presset situation i forbindelse med udleveringen af sine kortoplysninger og efterfølgende godkendelse af betalingen. Klageren muliggjorde således ved groft uforsvarlig adfærd betalingen, hvorfor klageren hæfter med 8.000 DKK i henhold til betalingslovens § 100, stk. 4.

Banken havde ikke mulighed for at stoppe denne betaling, idet betalingen blev godkendt med MitID, jf. bankens regler for Visa/dankort. Banken kan ikke tilbagekalde en betaling efter, at instruksen om betalingen er modtaget af banken, jf. betalingslovens § 111, stk. 1.

Danske Bank har til støtte for afvisningspåstanden anført, at klagerens påstand om, at han ikke har godkendt beløbet, ikke hænger sammen med bankens oplysninger om, at korttransaktionen er autoriseret med klagerens MitID-app med stærk kundeautentifikation, samt at klageren blev præsenteret for både beløbsmodtager og beløb i MitID-app’en, som var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen. En vurdering af sagen vil derfor kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. vedtægternes § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Danske Bank, hvor han blandt andet havde en konto med et tilknyttet betalingskort -0149.

Den 3. februar 2024 blev der gennemført en kortbetaling på 1.467 EUR svarende til 10.937,40 DKK med klagerens betalingskort til en betalingsmodtager, W, som klageren ikke kan vedkende sig.

Klageren har oplyst, at han efter en onlinehandel hos en forretning, P, skulle betale fragt på 38 DKK for at modtage en gave, og at han godkendte med MitID. Da han havde godkendt, kom der en besked om, at forsendelsen ville blive pålagt udenlandsk porto. Han har kun godkendt 38 DKK.

Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -1178, som var aktiveret den 20. juni 2022 og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 1467,00 EUR til [W] fra kort -0149.”

Den 7. februar 2024 godtgjorde banken klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 2.937,40 DKK til klagerens konto.

Ankenævnet lægger til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter den var godkendt, uanset tidspunkt for den efterfølgende spærring af betalingskortet og debitering af beløbet på klagerens konto.

Ankenævnet lægger videre til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Helle Korsgaard Lund-Andersen, Morten Winther Christensen og Kritte Sand Nielsen – udtaler:

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren har godkendt betalingen på 1.467 EUR i sin MitID.

Vi finder videre, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID, hvor han fik oplysninger om beløbet på 1.467 EUR og beløbsmodtageren, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Tina Thygesen og Jørn Ravn – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, banken skal tilbageføre 7.625 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.