Indsigelse mod at hæfte for op til 8.000 DKK af korttransakti-on godkendt i MitID.
| Sagsnummer: | 312/2024 |
| Dato: | 31-01-2025 |
| Ankenævn: | Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen, Rolf Høymann Olsen og Martin Hare Hansen. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for op til 8.000 DKK af korttransakti-on godkendt i MitID. |
| Indklagede: | Coop Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Coop Bank, hvor hun havde en konto med et tilknyttet betalingskort -734.
Banken har fremlagt en udskrift af klagerens MitID-log over klagerens identifikationsmidler, hvoraf der blandt andet fremgår, at MitID -904 den 4. maj 2022 blev installeret på en iPhone 7.
Klageren har oplyst, at hun fra den 18. maj 2023 korresponderede med en person, P, omkring en vare, som hun havde til salg på Facebook Marketplace. De blev enige om handlen og aftalte at transporten skulle foregå via DAO. Person P sendte klageren et link til det, der lignede DAO’s hjemmeside.
Klageren har fremlagt en SMS-tråd med en SMS af 18. maj 2024, der indeholdt linket, hvoraf fremgår:
”Brugeren har kobt dit produkt online ved hjaelp af sikker betaling hos DAO. Fa dine penge: https://ofd06.com/53699629”
Klageren har oplyst, at hun fulgte linket til hjemmesiden, hvor hun skulle klikke på en knap for at modtage 470 kr.
Klageren har fremlagt skærmbilleder af en hjemmeside, der fremstod som om at være DAO’s, hvoraf blandt andet fremgik:
”…
Pakke til [person P]
470,0 kr.
Fortsæt transaktionen som følger for at fortsætte
[Få pengene]”
Klageren har oplyst, at hun klikkede og godkendte dette.
Klageren har fremlagt en dialog med person P, hvoraf blandt andet fremgår:
”…
[Person P]: Ja, alt er i orden. Så send venligst dit fulde navn og telefonnummer, så jeg kan beregne forsendelsesomkostninger og oprette en etiket. Mange tak for din hjælp
[Klageren]: Jeg sender med Dao. Det er 60 kr. med Dao
[Person P]: Jeg betaler med sikker betaling til leveringstjenesten, det er mere praktisk og sikrere for mig, jeg betaler dem, og de overfører pengene til dig, jeg har brug for dit telefonnummer for at gennemføre betalingen.
[Klageren]: Det er jo det jeg gør når jeg sender.. [klagerens telefonnummer] så skal du give mig nr jeg skal skrive på pakken
[Person P]: Tak, jeg har gennemført betalingen, leveringstjenesten sender dig en sms til dit nummer, som jeg har betalt, gå til hjemmesiden og følg instruktionerne, så får du pengene. Og følg venligst instruktionerne fra kundeservice for at undgå problemer, de vil hjælpe dig med alt, tak.
Ja, første gang jeg gjorde det, var jeg nødt til at godkende kortet. Det er for at kontrollere, at dit kort er gyldigt, og at du er kortholderen.
Når du går ind på webstedet, er der et teknisk support-ikon nederst til højre på siden, klik på det og svar dem, de venter på dit svar.
[Klageren]: Du kan ikke overfører med mobil pay
[Person P]: Når du vender tilbage til siden, er du stadig i den sidste verifikationsfase.
Gå til hjemmesiden, teknisk support vil hjælpe dig
Teknisk support skrev, at du er på rette spor, du skal bekræfte push-meddelelsen, det er …
[Klageren]: Den siger fejl
[Person P]: Teknisk support siger, at man skal bekræfte flere gange. Du skal bekræfte push-meddelelsen i MITID-appen
[Klageren]: Det gjorde og den sagde fejl
[Person P]: Det skal nok gå, bare bekræft push-meddelelsen igen.
…
[Person P]: Teknisk support sagde, at du skal bekræfte, og at de vil overføre mine penge til dig.
[Klageren]: Den siger fejl
[Person P]: Jeg har også gjort det et par gange, det er fint. Du skal bare bekræfte push-meddelelsen i MITID-appen.
[Klageren]: Der står jo forskellige beløb hver gang
[Person P]: Ja, det er et korttjek. Det burde det være, det er forskellige koder, det er kortbekræftelse, bekræft det er fint, bare rolig. Du gør det rigtige, bekræft, at push-meddelelsen ikke kan blive hængende længe.
…”
Den 18. maj 2024 kl. 18:16 blev der med klagerens betalingskort foretaget en kortbetaling på 364,98 USD svarende til 2.551,06 DKK til en udenlandsk betalingsmodtager A, som klageren ikke kan vedkende sig.
Banken har fremlagt en e-mail fra Nets, og har anført, at følgende MitID tekst blev sendt til klagerens MitID -904 i forbindelse med kortbetalingen på 364,98 USD:
”Betal 364,98 USD til [betalingsmodtager A] fra kort [-734]”
Banken har fremlagt en udskrift af klagerens MitID-log over login og autentifikation i MitID, hvoraf blandt andet fremgår:
”18-05-2024 18:15:03 … Godkendelse – indtastet bruger-ID
….
18-05-2024 18:16:33 … App – autentificering lykkedes
…
MitID identifikationsmiddel-ID [-904]
…”
Banken har anført, at kortbetalingen blev godkendt med klagerens MitID -904.
Klageren har anført, at hun ikke fik vist beløbet på 364,98 USD eller betalingsmodtager A og at hun igennem hele forløbet kunne se beløbet på 470 DKK fra DAO. Hun afviste derfor at have godkendt betalingen på 364,98 USD.
Den 19. maj 2023 gjorde klageren indsigelse over for banken. Af indsigelsesblanketten fremgår blandt andet:
”…
|
Beskriv hvad der er sket: … |
|
Mit kort er levet hacket. Der er blevet hævet 2551 i dag den 22-5-24 som ikke er mig … |
…”
Den 27. maj 2024 afviste banken klagerens indsigelse under henvisning til, at klageren hæftede for op til 8.000 DKK, hvorfor den ikke godtgjorde hende 2.551,06 DKK.
Banken har fremlagt sine Brugerregler for Visa/Dankort, hvoraf der blandt andet fremgår:
”…
10. Dit ansvar ved misbrug af dit Visa/Dankort
…
Du skal dække tab op til 8.000 kr. i tilfælde af, at dit Visa/Dankort har været misbrugt af en anden person og der i den forbindelse er anvendt personlig sikkerhedsforanstaltning, og
• Du har undladt at underrette Coop Bank snarest muligt efter at have fået kendskab til, at kortet eller din mobiltelefon med wallet er bortkommet, eller at uberettigede har fået kendskab til sikkerhedsforanstaltningen
• Du med forsæt har overgivet sikkerhedsforanstaltningen til den, der har foretaget den uberettigede anvendelse, uden at du indså eller burde have indset, at der var risiko for misbrug
• Du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.
…”
Parternes påstande
Den 4. juli 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Coop Bank skal tilbagebetale hende 2.551,06 DKK.
Coop Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at hun var blevet hacket på Facebook Marketplace, hvor hun var i færd med at sælge en vare. Hun har meldt forholdet til politiet.
Linket hun modtog, der fremstod at være fra DAO blev registreret samme sted som hendes øvrige kommunikation med det rigtige DAO. Det er ikke korrekt, at hun modtog oplysninger om betalingsmodtageren eller beløbet på 364,98 USD. Den viste bare en fejl og hoppede kort tid efter til siden, hvor hun kunne se betalingen på 470 DKK til DAO. Der var ingen overførsel. Hun vidste ikke, at hun blev hacket, da hun godkendte betalingen på 470 DKK fra DAO. Hun var ikke af den opfattelse, at betalingen var gennemført.
Hun kan ikke have handlet uforsvarligt, når det hele så rigtigt ud, og når der på intet tidspunkt stod et andet beløb end de 470 DKK. Ikke engang da hun skrev sine oplysninger.
Da hun skulle gøre indsigelse, troede hun, at hun var blevet svindlet for to beløb. Et beløb på 2.551,06 DKK og et beløb på 364,98 USD, men det var samme betaling.
Hun skrev til person P, at betalingen havde fejlet. Person P er helt væk fra Facebook Marketplace nu. Person P har slettet sin profil.
Hun har gjort indsigelse til banken og til Nets, men Nets har slet ikke svaret hende.
Banken burde have foretaget en mere dybdegående undersøgelse af svindlen, end den har gjort. Hun er med 1.000 procent sikkerhed blevet svindlet. Banken skal godtgøre hende tabet.
Coop Bank har til støtte for frifindelses anført, at det på baggrund af dokumentation fra Nets skal lægges til grund, at klageren i MitID -904 i forbindelse med kortbetalingen modtog en MitID-tekst med oplysninger om betalingsmodtageren og beløbet, og at klageren ved at godkende kortbetalingen i MitID -904 har handlet groft uforsvarligt.
Banken er berettiget til at opkræve selvrisiko på 8.000 DKK i henhold til Brugerregler for Visa/Dankort og betalingsloven. Dette følger ligeledes af praksis i Ankenævnet.
Der er ikke oplysninger eller indikationer på, at kortbetalingen eller sikkerhedsforanstaltninger har været ramt af fejl eller tekniske svigt. Transaktionen er bogført korrekt på klagerens konto.
Banken har til støtte for afvisningspåstanden anført, at hvis klageren fastholder, at kortbetalingen ikke er godkendt af klageren selv, så skal klagen afvises, da en behandling af klagen vil forudsætte yderligere bevisførelse, hvorefter sagen ikke vil være egnet til behandling i Ankenævnet.
Ankenævnets bemærkninger
Klageren var kunde i Coop Bank, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -734.
Klageren har oplyst, at hun fra den 18. maj 2023 korresponderede med en person, P, omkring en vare, som hun havde til salg på Facebook Marketplace. De blev enige om handlen og aftalte at transporten skulle foregå via DAO. Person P fremsendte et link til det, der lignede DAO’s hjemmeside. Klageren har oplyst, at hun fulgte linket til hjemmesiden, hvor hun skulle klikke på en knap for at modtage 470 kr. Klageren har oplyst, at hun klikkede og at hun godkendte dette, men at hun fik en meddelelse om, at der var sket en fejl.
Den 18. maj 2024 kl. 18:16 blev der med klagerens betalingskort foretaget en kortbetaling på 364,98 USD svarende til 2.551,06 DKK til en udenlandsk betalingsmodtager A, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen af 18. maj 2024 blev godkendt med stærk kundeautentifikation i klagerens MitID -904, som var installeret på klagerens iPhone 7 den 4. maj 2022, og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 364,98 USD til [betalingsmodtager A] fra kort [-734]”.
Klageren har anført, at hun på intet tidspunkt modtog oplysninger om beløbet på 364,98 USD eller betalingsmodtager A.
Den 27. maj 2024 afviste banken klagerens indsigelse under henvisning til, at klageren hæftede for 8.000 DKK.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
To medlemmer – Jonas Thestrup Nielsen, der i medfør af Ankenævnets vedtægter § 16, stk. 1, er tillagt to stemmer og Helle Korsgaard Lund-Andersen – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 364,98 USD i sin MitID.
Vi finder, at banken har godtgjort, at klageren i sin MitID modtog oplysninger om beløbet på 364,98 USD og betalingsmodtager A og at hun ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Rolf Høymann Olsen og Martin Hare Hansen – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, banken skal tilbageføre 2.176,06 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.