Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion. Aktivering/indrullering af MitID på svindlers enhed.

Sagsnummer:501/2024
Dato:10-04-2025
Ankenævn:Katrine Waagepetersen, Inge Kramer, Mette Lindekvist Højsgaard, Morten Bruun Pedersen og Elizabeth Bonde.
Klageemne:Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion. Aktivering/indrullering af MitID på svindlers enhed.
Indklagede:Lunar Bank A/S
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion. Aktivering/indrullering af MitID på svindlers enhed.

Sagens omstændigheder

Klageren var kunde i Lunar Bank, hvor hun blandt andet havde en konto -762 med et tilknyttet betalingskort -952.

Klageren har oplyst, at hun den 8. august 2024 blev kontaktet af en person, person A, der udgav sig for at ville købe en vare, hun havde til salg på Facebook Marketplace. Person A og klageren aftalte, at varen skulle sendes med GLS. Person A meddelte klageren, at personen skulle bruge klagerens telefonnummer og e-mail for at bekræfte transaktionen. Klageren oplyste sit telefonnummer og e-mail til person A. Person A meddelte klageren, at varen og leveringen var betalt, og anmodede klageren om at oplyse, om hun havde modtaget en e-mail i sin indbakke, hvor hun skulle indtaste sine oplysninger for at modtage købesummen. Klageren svarede, at hun havde modtaget e-mailen, men at hun ikke var meget for at oplyse sine kortoplysninger. Person A oplyste klageren, at hun skulle indtaste kortoplysningerne, så banken og betalingssystemet kunne identificere hende som modtager af købesummen. Klageren meddelte person A, at hun havde forsøgt at oplyse sine kortoplysninger, men at systemet ikke kunne godkende hendes MitID, da hun ikke havde opdateret dette. Person A svarede klageren, at person A havde fået en besked fra GLS-kundeservice, der oplyste, at man skulle identificere sig, inden man kunne få købesummen. Person A oplyste, at fremgangsmåden var:

”…

1. Åbn MitID appen på din telefon

2. Vælg menu

3. Vælg Kopier ny MitID app

4. Følg instruktionerne i MitID-appen

5. Når timeren viser klokken 1, skal du klikke på knappen nedenfor eller send en besked til mig i chatten for at modtage pengene.

VIGTIGT: Du må ikke åbne eller lukke QR-koden, som du vil kunne se i MitID-appen efter 60 minutter.

…”

Klageren svarede person A, at hun havde igangsat kopiering af et nyt MitID, og at der skulle gå en time, inden hun skulle sende tre billeder til chatten. Person A meddelte klageren, at person A også ventede en time for at modtage penge fra en anden person vedrørende en anden handel. Person A meddelte herefter klageren, at A havde modtaget en besked fra kundeservice om, at klageren skulle følge et link, åbne chatten og godkende for at modtage pengene. Efter noget tid svarede klageren, at det lykkedes, og at problemet var på MitID-siden. Hun ville pakke varen og sende den dagen efter.

Samme dag en halv time senere konstaterede klageren, at der var tale om svindel, og meddelte person A, at betalingerne ville blive stoppet.

Den 8. august 2024 blev der gennemført fire kortbetalinger på i alt 8.072,84 USD (US Dollars) svarende til 55.799,72 DKK med klagerens betalingskort -952 til to udenlandske betalingsmodtagere, betalingsmodtagerne T og M, som klageren ikke kan vedkende sig.

Banken har fremlagt en udskrift fra dens system, hvoraf blandt andet fremgår, at klagerens kundeforhold i banken primært blev tilgået fra en iPad (model 7,3) og en iPhone 7 (model 9,3). Herudover fremgår blandt andet:

”…

attemptedAt

Type

Result

Device_external_id

Device_manufacturer

Device_model

Device-/appvVersion

2024-08-08T18:51:50

Auth-mitid

Succesful_auth_mitid

 

[-05D]

Apple

iPhone12,8

4.120.0

                       

…”

Banken har fremlagt en udskrift af transaktionsoplysningerne for hver af de fire kortbetalinger, hvoraf fremgår blandt andet:

Challenge details

Card name

… [-952]

Account

… [-762]

Merchant                                                    Amount

[betalingsmodtager T eller M]                     [XXX DKK]

Status                                                         Approved at

Approved                                                     2024-08-08 21:05:42

Device ID

[-05D]

Device OS                                                  App version

iOS                                                              4.120.0”

Banken har anført, at korttransaktionerne var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Banken har anført, at kortbetalingerne blev godkendt med 3D Secure i klagerens Lunar app, som blev tilgået ved godkendelse med MitID på en iPhone SE (model 12,8). Lunar app’en var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Banken har anført, at godkendelsen af kortbetalingerne alene var mulig, hvis klageren ved swipe i klagerens MitID selv godkendte, at en ny enhed kunne tilgå klagerens kundeforhold, eller hvis klageren selv godkendte, at klagerens MitID blev aktiveret på en ny enhed. Klageren godkendte selv, at klagerens MitID blev aktiveret på tredjemands enhed. Dette stemte overens med klagerens egen forklaring og dialogen mellem klageren og person A, hvor klageren blev bedt om at aktivere sit MitID på en ny enhed. Fremgangsmåden er overensstemmende med MitIDs guide ”Kopier din MitID app til en anden telefon/tablet”. Banken har herudover anført, at klageren ved denne proces blev mødt med en række af MitID’s sikkerhedsforanstaltninger samt advarsler med henblik på at forhindre svindel. Klageren gennemførte aktiveringen efter ”karantæneperioden” på en time, hvor det ifølge banken af MitID fremgik:

”Før du kan kopiere dit MitID, skal du vente i 60 minutter. Ventetiden er til for at hindre misbrug af dit MitID. Efter der er gået 60 minutter får du vist en QR-kode, som du skal scanne med den nye app.”

Banken har herudover anført, at klageren efter dette videregav QR-koden fra MitID og en SMS-kode til tredjemand for at gennemføre aktiveringen.

Den 8. august 2024 meddelte klageren banken, at der var korttransaktioner fra klagerens konto, som klageren ikke kunne vedkende sig. Banken meddelte klageren, at hun skulle spærre sit MitID, politianmelde hændelsen og udfylde en tro og love-erklæring.

Klageren gjorde indsigelse mod betalingerne ved tro og love-erklæring af 9. august 2024. Af denne fremgår blandt andet:

”…

For at kunne behandle sagen har vi brug for en så detaljeret beskrivelse af hændelsesforløbet som muligt.

Via en handel på FBs markedsplads hoppede jeg på en svindel med mit kontokort og mit MitID. Jeg blev bedt om at oprette mig til handel via GLS pakkeshop, hvor betalingen skulle foregå med GLS som mellemmand, så man ikke selv er indblandet i betalingen. Jeg er i forvejen medlem af Reshopper, hvor det er Reshopper, som står som mellemmand, når der handles, så jeg troede, at det var samme metode.

Den 8/8 - 24 ca. kl. 15:15 blev jeg kontaktet af en køber, som gerne ville have sendt varen. Jeg gjorde opmærksom på, at jeg kun sendte, når jeg havde modtaget varens beløb kr. 60,00 + porto kr. 40,00. I den forbindelse ved jeg, at når der sendes med GLS skal man bruge købers adresse, mail og telefonnr. - hvilket jeg bad om.

Som svar på ovenstående oprettede køber en aftale om betaling kr. 106,00 på GLS, og det var således omvendt af, hvad man plejer at gøre.

Jeg fik derefter en mail fra GLS, hvor jeg skulle fuldføre transaktionen - og når jeg nu nærlæser den, burde jeg være blevet mistænksom, men i mailen var der en chatfunktion, hvor jeg chattede med en [navn] - en chat som jeg opfattede som troværdig. Desværre forsvandt chatten, men mailen kom fra GLS.dk - ordre#88153313 med mailadressen: [e-mailadresse].

I forløbet skulle jeg MitID valideres - og det skabte lidt problemer med en foreløbig lukning af mit MitID - mine koder drillede, og her burde jeg være blevet mistænksom - under al denne forvirring, som opstod, fik jeg også oplyst mit CPR.

Kort efter at transaktionen endelig "lykkedes" omkring kl. 20.25, opdagede jeg, at der blev foretaget forsøg på uretmæssige hævninger på min konto.

Jeg kontakter Lunar med det samme og fik spærret min konto og ligeledes mit MitID.

Politianmeldelsen følger senere.

Jeg har vedhæftet fotos af chatten med køber og mailen fra GLS.

…”

Klageren indgav herudover også en kortindsigelse, hvoraf fremgår blandt andet:

”…

Beskriv hvad der er sket: […]

Jeg solgte en vare på FB Markedsplads. Køberville betale gennem GLS. Da jeg ikke var oprettet til dette i GLS blev jeg dirigeret gennem et forløb for at oprette kort som modtager af beløb i GLS. Der blev hurtigt hævet penge, hvorfor jeg kontaktede LUNAR bank og fik spærret kort og konto.

Vælg en indsigelsesårsag for hver transaktion og beskriv, hvorfor du gør indsigelse mod beløbet. […]

Jeg har ikke foretaget dette køb.

Er du på noget tidspunkt blevet kontaktet og bedt om at bekræfte/oplyse dit betalingskort eller dine personlige oplysninger?

Nej, jeg er ikke blevet kontaktet

Her har du mulighed for at give yderligere oplysninger til din indsigelse eller give oplysninger, hvis du ønsker at gøre indsigelse i mod transaktioner, som du ikke kunne vælge før. […]

Jeg kontaktede banken, så snart jeg opdagede der blev hævet på kontoen. Banken spærrede kort og konto, men alligevel er pengene i dag hævet fra kontoen.

…”

Klageren anmeldte forholdet til politiet.

Den 4. september 2024 afviste banken at godtgøre klageren noget beløb, da den ikke kunne konstatere, at nogen andre havde været logget ind på klagerens konto, og at transaktionerne var godkendt fra klagerens egen enhed.

Den 6. og 9. september 2024 gjorde klageren indsigelse mod bankens afvisning af 4. september 2024.

Den 16. september 2024 godtgjorde banken klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 47.799,72 DKK til klagerens konto.

Klageren gjorde indsigelse mod bankens afgørelse af 16. september 2024. Klageren har oplyst, at hun ikke modtog yderligere svar fra banken.

Parternes påstande

Den 3. oktober 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Lunar Bank A/S skal godtgøre hende tabet med fradrag af 375 DKK.

Lunar Bank A/S har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hun var udsat for phishing-svindel i forbindelse med salget på Facebook Marketplace.

Det er ikke korrekt, som banken indledningsvist vurderede, at transaktionerne blev godkendt fra hendes enhed, og at ingen andre havde adgang til hendes enhed. Bankens konklusion om, at betalingslovens § 100, stk. 3, ikke finder anvendelse er juridisk forkert. Bankens afgørelse tager ikke højde for, at hun blev ført bag lyset af svindlere. Hun blev aldrig ført ind til de hjemmesider, som har trukket beløbene, og har på intet tidspunkt set eller godkendt specifikke beløb. Transaktionerne blev godkendt gennem en falsk GLS-hjemmeside. Hun handlede i god tro om, at det var en reel proces med GLS. Den eneste, hun godkendte, var oprettelsen i det, hun troede var GLS-systemet. Hun fik flere gange midlertidige beskeder på sin mobiltelefon, som hun afviste. Hun ønskede ikke at godkende noget uden at have en klar forståelse af, hvad hun interagerede med.

Betalingslovens § 100 beskytter mod uautoriserede transaktioner, som omfatter betalinger, der er udført som følge af svindel. Hun blev narret til at godkende transaktionerne via en falsk GLS-hjemmeside. Hun har aldrig givet et reelt og informeret samtykke.

Hendes selvrisiko bør nedsættes til 375 DKK, jf. betalingslovens § 100, stk. 3., da hun ikke har handlet groft uansvarligt i sagen, og da bankens afgørelse ikke er i overensstemmelse med de faktiske omstændigheder. Bankens systemer har et sikkerhedsproblem. Banken skal tage sagen alvorligt og undersøge, om der kan have været en sikkerhedsbrist, der har muliggjort, at svindlerne fik adgang til hendes Lunar app uden hendes viden.

Hun kontaktede straks banken, da hun opdagede svindlen, og har efterfølgende fremlagt en politianmeldelse og udfyldt en tro og love-erklæring.

Beløbene blev først overført, da banken genåbnede hendes konto. Banken kunne have forhindret overførslerne.

Lunar Bank A/S har til støtte for frifindelsespåstanden anført, at klageren i forbindelse med handlen og samtalerne med person A og den falske kundeservice har oplyst sine kortoplysninger, MitID brugernavn og kode til tredjemand samt deltaget i at aktivere sit MitID på en anden enhed. Herefter kunne tredjemand foretage de ikke vedkendte transaktioner. Dette er sket over flere timer, og klageren har forbigået en række af MitID’s sikkerhedsforanstaltninger samt meddelelser om, at klageren var ved at aktivere sit MitID på en ny app. Dette har klageren ikke reageret på. På baggrund heraf har klageren ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse, hvorfor klageren hæfter for 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3

Banken har til støtte for afvisningspåstanden anført, at en afgørelse af sagen kan afhænge af en afklaring af klagerens involvering i aktiveringen af MitID på tredjemands enhed, hvorfor sagen skal afgøres på baggrund af yderligere bevisførelse i form af parts- og vidneforklaringer.

Da en sådan bevisførelse ikke kan ske for Ankenævnet, men alene kan ske for domstolene, bør klagen afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Lunar Bank, hvor hun blandt andet havde en konto -762 med et tilknyttet betalingskort -952.

Klageren har oplyst, at hun den 8. august 2024 blev kontaktet af en person, der udgav sig for at ville købe en vare, hun havde til salg på Facebook Marketplace. Person A og klageren aftalte, at varen skulle sendes med GLS. Person A meddelte klageren, at personen skulle bruge klagerens telefonnummer og e-mail for at bekræfte transaktionen. Klageren oplyste sit telefonnummer og e-mail til person A. Klageren modtog en e-mail, hvori hun blev anmodet om at oplyse sine kortoplysninger, hvilket hun ikke syntes om. Klageren meddelte person A, at hun havde forsøgt at oplyse sine kortoplysninger, men at systemet ikke kunne godkende hendes MitID, da hun ikke havde opdateret dette. Person A videresendte en meddelelse, der fremstod som værende fra GLS’ kundeservice, hvor kundeservice oplyste, at klageren skulle kopiere sin MitID app, følge instruktionerne i MitID, vente en time og sende en meddelelse i chatten med kundeservice. Klagerne måtte herudover ikke lukke QR-koden, som kunne ses i MitID efter en time. Klageren svarede person A, at hun havde igangsat kopiering af et nyt MitID, og at der skulle gå en time, før hun skulle sende tre billeder til chatten. Efter nogle udfordringer meddelte klageren person A, at det var lykkedes, at problemet var på MitID-siden, og at hun ville sende varen dagen efter. Samme dag konstaterede klageren, at der var tale om svindel.

Den 8. august 2024 blev der gennemført fire kortbetalinger på i alt 8.072,84 USD (US Dollars) svarende til 55.799,72 DKK med klagerens betalingskort -952 til to udenlandske betalingsmodtagere, betalingsmodtagerne T og M, som klageren ikke kan vedkende sig.

Banken har fremlagt en udskrift fra dens system, hvoraf blandt andet fremgår, at klagerens kundeforhold den 8. august 2024 blev tilgået fra en Apple iPhone SE (model 12,8) med app version 4.120.0, som var autentificeret med MitID.

Banken har fremlagt en udskrift af transaktionsoplysningerne for hver af de fire kortbetalinger, hvoraf blandt andet fremgår, at kortbetalingerne var gennemført med en iOS-enhed, device-ID -05D og app version 4.120.0.

Banken har anført, at kortbetalingerne blev godkendt ved 3D Secure i klagerens Lunar app, som blev tilgået ved godkendelse med MitID på en iPhone SE (model 12,8). Lunar app’en var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Klageren gjorde indsigelse mod betalingerne ved tro og love-erklæring af 9. august 2024 og ved en kortindsigelse.

Den 16. september 2024 godtgjorde banken klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 47.799,72 DKK til klagerens konto.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2, er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Katrine Waagepetersen, Inge Kramer og Mette Lindekvist Højsgaard – udtaler:

Vi finder det godtgjort, at klageren må have videregivet sine kortoplysninger og sine personlige MitID-oplysninger til tredjemand, hvorved tredjemand har kunnet foretage aktivering af et nyt MitID-identifikationsmiddel på sin egen enhed og foretage de ikke-vedkendte transaktioner.  

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse af sit betalingskort. Klageren skal som følge heraf hæfte med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Elizabeth Bonde – udtaler:

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have handlet som sket.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, der muliggør misbruget.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.

Der træffes afgørelse efter stemmeflertallet.

Klageren får herefter ikke medhold i klagen.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.

 

 

Internationale netværk

Vedtægter

Ankenævnets nævnsmedlemmer

Vejledninger til klageportalen

Behandling af personoplysninger

Kontakt os  

Sekretariatet for det finansielle ankenævn
Amaliegade 7
1256 København K

sek@fanke.dk
Tlf. 35 43 63 33
Telefontid kl. 10.00 -12.00

Henvendelse til Sekretariatet skal ske
skriftligt eller telefonisk.