Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev gennemført som 3D Secure transaktion ved godkendelse med MitID. Phishing.

Sagsnummer: 468/2023
Dato: 18-04-2024
Ankenævn: Bo Østergaard, Inge Kramer, Klaus Tougaard Kristensen, Morten Bruun Pedersen og Poul Erik Jensen.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev gennemført som 3D Secure transaktion ved godkendelse med MitID. Phishing.
Indklagede: Arbejdernes landsbank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev gennemført som en 3D Secure transaktion ved godkendelse med MitID.

Sagens omstændigheder

Klageren var kunde i Arbejdernes Landsbank, hvor hun havde et betalingskort nr. -7498.

Den 24. maj 2023 blev der foretaget en kortbetaling på 1.476 EUR svarende til 11.103,70 DKK fra klagerens konto i banken til en udenlandsk betalingsmodtager, R, som klageren ikke kan vedkende sig.

Klageren har oplyst, at baggrunden for betalingen var, at hun den samme dag havde modtaget en SMS, der fremstod som værende fra Skat med oplysning om, at hun skulle have 1.476 kr. tilbage i skat.

Banken har oplyst, at betalingen blev foretaget ved godkendelse i klagerens MitID-app nr. -7151, der var installeret på klagerens telefon den 7. september 2022. Banken har fremlagt en udskrift fra Nets’ system af teksten, der blev sendt til klagerens MitID-app i forbindelse med godkendelse af betalingen. Af teksten fremgik:

”Betal 1476,00 EUR til [R] fra kort xx7498”

Banken har oplyst, at transaktionen var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl. Banken har fremlagt en udskrift fra Nets, hvori Nets bekræfter, at Nets ikke er bekendt med, at der skulle være opstået tekniske fejl hos Nets i forbindelse med transaktionen.

Den 16. juni 2023 indgav klageren indsigelse til banken og oplyste:

”… Jeg modtog en sms som jeg ikke kan finde mere hvor der stod at jeg skulle have skat tilbage 1476 kr. med mit mit ID og tænkte så må det jo være ok men da den så trak pengene og ville til at trække 700 kr ekstra vist jeg den var gal men forsent.

Jeg fik spærret kortet straks og ændret kode i mit Mit Id Men fik at vide fra jer at i intet kunne gøre så længe de ikke var trukket men det er de nu den 26 maj 2023.

Hvordan blev du opmærksom på de transaktioner, som du ikke kan godkende?

Blev næsten med det samme opmærksom på at den var gal men først nu ser jeg at det er 11.103,70 kr og ikke 1476kr som jeg først troede - som de skrev var tilgode i sms den 24.05.23 kl 19.03

…”

I forbindelse med indsigelsessagen oplyste klageren endvidere:

” … Jeg vil klage over at banken ikke har et system der forsikre mine penge, at der ikke bare bliver trukket et kæmpe beløb i udenlandsk valuta selvom jeg før det sker har indberettet at mit kort skal lukkes og der er svindel så reagere banken ikke ,men sender pengene ud fra min konto efterfølgende. Samme sekund jeg havde godkendt 1450 kr pr. sms og med mit id ( som var grunden til jeg tænkte det var ok transaktion) da jeg ser der derefter bliver trukket 1450 euro ringer jeg til banken og melder straks at den er gal og ber om at lukke mit kort . laver koden om i mit id. Der skulle banken være mere sikker og stoppe hele transaktionen men det gør i ikke.

Hvad vil du gerne opnå med klagen?

Jeg får denne mail som beviser at i godt ved at den er gal men sender dem alligevel : Dato : 25.05.2023 14.30 Status : Læst SV: Udenlandsk betaling med kort Hej [klageren] Jeg kan se dit kort allerede er spærret formodentlig fordi det er blevet observeret at der forsøges trukket et beløb - nyt kort er bestilt. Jeg kan dog ikke se at beløbet er trukket endnu, hvis det bliver trukket kan du lave en indsigelse på bankens hjemmeside I søge feltet skriver du "indsigelse" og så kommer der forskellige muligheder frem. Venlig hilsen [medarbejder M i banken]. Derfor vil jeg mene ,at jeg ikke skal betale en kæmpe selvrisiko på 8000 kr ,men at banken må betale og ændre jeres system så jeg kan føle mig sikker på at i passer på mine penge fremover.”

”Transaktionen er sket den 24.05.2023, hvor jeg har været inde og godkende, at jeg ville få udbetalt , tillbagebetalt 1476.00 kr i skat med mit mit id. Jeg troede det var ok pga. Mit id. var skrevet med i sms.

Fandt straks ud af at den var gal da de så hævede pengene i stedet og yderligere forsøgte at få mig til at sige ja til 700 kr.

Jeg ringede straks til banken og fik mit kort lukket og ændrede mit kodeord til Mit id. Den 24.05.2023

Modtager en mail 31.05.2023, fra NETS som vil have mig til at godkende køb på 1476.00 EUR hos [R] med indgangskode … .Købet trækkes på kortnr. xx7498 hvilket jeg ikke har gjort.

Den oprindelige første sms fra skat tror jeg desværre er væk.”

Den 3. juli 2023 godtgjorde banken klagerens tab fratrukket 8.000 DKK svarende til 3.103,70 DKK.

Parternes påstande

Den 30. august 2023 har klageren indbragt sagen for Ankenævnet, der har forstået klagerens påstand således, at Arbejdernes Landsbank skal tilbageføre de resterende 8.000 DKK til hende.

Arbejdernes Landsbank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun var udsat for phishing, idet hun fik en SMS, hvor der stod, at hun skulle have 1.476 kr. tilbage i restskat via MitID. Netop på grund af MitID troede hun, at det var okay.

I samme sekund, hun godkendte med sit MitID, opdagede hun, at der var noget galt, da MitID forsøgte at få hende til at godkende endnu 700 EUR. Hun mindes ikke, at hun kunne læse, at hun godkendte 1.476,00 EUR på MitID. Hun kunne ikke se det af banken anførte på MitID. Når hun tænker tilbage, kan hun kun huske, at der pludselig stod et beløb på 700 EUR til godkendelse på MitID. Dette godkendte hun ikke, men indså, at der var noget galt.

Straks derefter ringede hun til banken og lukkede sit kort og sagde, at banken ikke skulle sende pengene, da det var fup. Hun ændrede straks sit MitID kodeord. Banken handlede ikke efter hendes ønsker om at beskytte hendes konto. Hun ringede med det samme, hvorfor banken ville kunne stoppe transaktionen.

Hun fik endda en mail fra bankrådgiver, som skrev, at der var ved at blive trukket penge til udlandet, men at banken kunne se, at hun havde lukket sit kort. Hun skrev endnu engang, at det var snyd og skulle stoppes. Banken skrev desuden en besked, at den kunne se, at hun havde lukket sit kort, og at der var penge på vej til udlandet, hvor hun svarede, at det var en fejl, men den samtale er ikke at finde i banken.

På dette tidspunkt var der ikke den ekstra sikkerhed på, hvor man skal godkende med at scanne et mønster.

De 8.000 DKK er en alt for stor selvrisiko. Hun var i en presset situation og skulle svare hurtigt.

Banken nævnte, at den har rigtig mange sager af denne art, så den ved jo, at der er noget galt.

Arbejdernes Landsbank har anført, at det følger af betalingslovens § 98, stk. 1, at udbyderen af betalingstjenesten har bevisbyrden for, at en betalingstransaktion er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl. Ved brug af et betalingsinstrument har udbyderen desuden bevisbyrden for, at den til betalingsinstrumentet hørende personlige sikkerhedsforanstaltning er blevet anvendt i forbindelse med betalingstransaktionen. Nets har oplyst, at betalingen er korrekt registreret og bogført, og at den ikke er ramt af tekniske svigt eller andre fejl. Betalingen blev gennemført med MitID (en personlig sikkerhedsforanstaltning). Bevisbyrden i betalingslovens § 98, stk. 1, er derfor opfyldt.

Klageren hæfter med en egenandel på 8.000 DKK, jf. betalingslovens § 100, stk. 4, da klageren muliggjorde misbruget ved groft uforsvarlig adfærd. Det må anses som groft uforsvarlig adfærd, at klageren indtastede sine kortoplysninger og godkendte betalingen via MitID nøgleappen på trods af den tydelige information om, at klageren var i gang med at godkende en betaling på 1.476,00 EUR.

Klageren burde have reageret på teksten i MitID-appen, hvor klageren fik oplysninger om beløbet på 1.476 EUR og beløbsmodtager.

Klageren befandt sig i øvrigt ikke i en presset situation ved afgivelse af sine kortoplysninger og godkendelse af betalingen.

Banken havde ikke mulighed for at "bremse" betalingen efter, at klageren havde godkendt den.

Ankenævnets bemærkninger

Den 24. maj 2023 blev der foretaget en kortbetaling på 1.476 EUR svarende til 11.103,70 DKK fra klagerens konto i Arbejdernes Landsbank til en udenlandsk betalingsmodtager, R, som klageren ikke kan vedkende sig.

Klageren har oplyst, at baggrunden for betalingen var, at hun den samme dag havde modtaget en SMS, der fremstod som værende fra Skat med oplysning om, at hun skulle have 1.476 DKK tilbage i skat. I den forbindelse godkendte hun med sit MitID, men hun godkendte ikke en betaling på 1.476 EUR på MitID.

Banken har dækket klagerens tab med fradrag af 8.000 DKK.

Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter den var godkendt, uanset tidspunktet for den efterfølgende spærring af kortet og debitering af beløbet på klagerens konto.

Den omtvistede betaling med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i MitID-app.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Bo Østergaard, Inge Kramer og Klaus Tougaard Kristensen – udtaler:

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 1.476 EUR i sin MitID-app. Vi har herved lagt vægt på klagerens egne oplysninger og udskriften fra Nets.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID-appen, hvor hun fik oplysninger om beløbet på 1.476 EUR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Poul Erik Jensen – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, banken skal tilbageføre 7.625 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.