| Sagsnummer: | 441/2024 |
| Dato: | 04-03-2025 |
| Ankenævn: | Bo Østergaard, Inge Kramer, Signe Vejen Hansen, Tina Thygesen og Anna Marie Schou Ringive. |
| Klageemne: | Betalingstjenester - spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger Afvisning - bevis § 5, stk. 3, nr. 4 |
| Ledetekst: | Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID. |
| Indklagede: | Sparekassen Sjælland-Fyn |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Sparekassen Sjælland-Fyn, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -991. Den 26. april 2022 installerede klageren MitID -151 på sin iPhone 12 Pro.
Klageren har oplyst, at hun modtog en e-mail, der fremstod som at være fra BroBizz. Af e-mailen fremgik, at klagerens betalingskortoplysninger var udløbet, og at hun skulle opdatere sine kortoplysninger. Da hun kort tid forinden havde fået et nyt betalingskort, anede hun ikke uråd. Hun tilgik linket og opdaterede sine kortoplysninger.
Sparekassen har fremlagt en udskrift af klagerens MitID-log, hvoraf fremgår:
”…
29-07-2024 10:23:03 … App – autentificering lykkedes
….
MitID identifikationsmiddel-ID [-157]
…”
Den 29. juli 2024 kl. 10:23 blev der gennemført en kortbetaling på 417.900 XOF (Vestafrikanske CFA-franc) svarende til 4.826,21 DKK med klagerens betalingskort -991 til en udenlandsk betalingsmodtager, betalingsmodtager A, som klageren ikke kan vedkende sig.
Sparekassen har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -151. Sparekassen har fremlagt en e-mail fra Nets med teksten, der blev sendt til MitID -151 i forbindelse med godkendelsen af betalingen. Af teksten fremgik:
”Betal 417.900 XOF til [betalingsmodtager A] fra kort [-991]”
Sparekassen har oplyst, at transaktionen var korrekt registreret og bogført.
Klageren har anført, at hun ikke godkendte betalingen, da den godkendelse hun foretog med sin MitID udgjorde 0 DKK. Klageren gjorde indsigelse mod betalingen ved en tro og love-erklæring. Af denne fremgår blandt andet:
”…
|
Beskriv hvad der er sket: … |
|
Jeg har ved en fejl trukket på et link. jeg har ikke været ude og rejse. min kort og mitid er blevet misbrugt |
|
|
|
Havde du kortet på købstidspunktet? … |
|
Ja, og det er kun mig, der har haft adgang til mit kort |
|
… |
|
Vælg en indsigelsesårsag for hver transaktion og beskriv, hvorfor du gør indsigelse gældende … |
|
Jeg har ikke foretaget dette køb. |
|
|
|
Er du på noget tidspunkt blevet kontaktet og bedt om at bekræfte/oplyse dit betalingskort eller dine personlige oplysninger? |
|
Nej, jeg er ikke blevet kontaktet |
|
… |
…”
Den 12. august 2024 meddelte sparekassen klageren, at den ikke ville godtgøre hende noget beløb, da klagerens tab på 4.826,21 DKK var lavere end klagerens egen hæftelse på 8.000 DKK.
Samme dag gjorde klageren indsigelse mod sparekassens afgørelse.
Den 14. august 2024 fastholdt sparekassen sin afgørelse af 12. august 2024.
Parternes påstande
Den 31. august 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Sjælland-Fyn skal godtgøre hendes tab med fradrag af 375 DKK.
Sparekassen Sjælland-Fyn har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at hun kort tid forinden havde fået et nyt betalingskort, hvorfor hun ikke var mistænksom over e-mailen, fra det der fremstod som at være BroBizz. Da hun tilgik linket, var hun intetanende om, at der lån en forbrydelse bag. Alt så ægte ud.
Fire dage efter konstaterede hun en hævning, som hun ikke genkendte. Hun kontaktede sparekassen og fik spærret sit betalingskort og MitID. På dette tidspunkt var hun klar over, at hun var blevet svindlet af professionelle svindlere. Da hun var blevet svindlet af professionelle svindlere, har hun ikke udvist groft uforsvarlig adfærd. Hun kunne på ingen måde genkende eller gennemskue, at der var tale om phishing, spam eller hacking.
Hun har ikke godkendt en betaling på 417.900 XOF i sin MitID. Hendes MitID var blevet hacket. Den godkendelse hun foretog med sin MitID udgjorde 0 DKK. Svindlerne må have fået adgang til hendes MitID og derved godkendt betalingen på 417.900 XOF. Hun undrer sig over, at sparekassen fastholder, at hun har godkendt beløbet, når den selv oplyser, at hun er blevet hacket.
Svindlerne bliver bedre og bedre, og derfor er det ikke rimeligt at gøre det til forbrugernes eget ansvar, at de bliver snydt. Det kan være stort set umuligt at se forskel på reelle mails og phishing mails. Derfor mener blandt andet Forbrugerrådet Tænk ikke, at det er groft uforsvarlig adfærd fra forbrugeren, når de bliver snydt af phishing mails.
Hun har ikke handlet med en dårlig adfærd, som sparekassen pålægger hende en egen hæftelse på 8.000 DKK for. Sparekassen skal ændre sin afgørelse, så hun skal betale 375 DKK. Dette er i overensstemmelse med Forbrugerrådet Tænks vurdering af sagen.
Sparekassen Sjælland-Fyn har anført, at klageren via phishing har foretaget og godkendt betalingen, hvorfor forholdet er omfattet af betalingslovens § 100, stk. 4, nr. 3. Det gælder uanset hvor godt gennemført, misledende og foruroligende phishingoplevelsen har været for klageren.
Betalingen blev godkendt i klagerens MitID, der var installeret på hendes mobiltelefon, hvormed betalingen blev godkendt med stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Betalingen er ligeledes korrekt registreret og bogført og har ikke været ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98.
Både betalingsmodtageren og beløbet, der blev godkendt, fremgik klart og tydeligt af teksten, der blev vist i klagerens MitID. Klageren godkendte betalingen, men burde have læst teksten i forbindelse med godkendelsen og undladt at godkende betalingen.
Det er derfor sparekassens vurdering, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, og derved bør hæfte med 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3 og ikke kun med 375 DKK, jf. betalingslovens § 100, stk. 3.
Ankenævnets bemærkninger
Klageren var kunde i Sparekassen Sjælland-Fyn, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -991. Den 26. april 2022 installerede klageren MitID -151 på sin iPhone 12 Pro.
Klageren har oplyst, at hun modtog en e-mail, der fremstod som at være fra BroBizz. Af e-mailen fremgik, at klagerens betalingskortoplysninger var udløbet, og at hun skulle opdatere sine kortoplysninger. Da hun kort tid forinden havde fået et nyt betalingskort, anede hun ikke uråd. Hun tilgik linket og opdaterede sine kortoplysninger.
Den 29. juli 2024 kl. 10:23 blev der gennemført en kortbetaling på 417.900 XOF (Vestafrikanske CFA-franc) svarende til 4.826,21 DKK med klagerens betalingskort -991 til en udenlandsk betalingsmodtager, betalingsmodtager A, som klageren ikke kan vedkende sig.
Sparekassen har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -151. Sparekassen har fremlagt en e-mail fra Nets med teksten, der blev sendt til MitID -151 i forbindelse med godkendelsen af betalingen. Af teksten fremgik: ”Betal 417.900 XOF til [betalingsmodtager A] fra kort [-991]”.
Klageren har anført, at hun ikke godkendte betalingen, da den godkendelse hun foretog med sin MitID udgjorde 0 DKK. Klageren har herudover anført, at hun var blevet snydt af professionelle svindlere. Hun har ikke handlet groft uforsvarligt, hvorfor sparekassen skal godtgøre hende sit tab med fradrag af 375 DKK.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter for op til 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.