Indsigelse mod at hæfte for op til 8.000 kr. af korttransaktioner godkendt i NemID-nøgleapp.

Sagsnummer:315/2022
Dato:23-02-2023
Ankenævn:Henrik Waaben, Christina B. Konge, Karin Sønderbæk, Jacob Ruben Hansen, Anna Marie Schou Ringive
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for op til 8.000 kr. af korttransaktioner godkendt i NemID-nøgleapp.
Indklagede:Ringkjøbing Landbobank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod korttransaktioner, som klageren ikke kan vedkende sig.

Sagens omstændigheder

Klageren var kunde i Ringkjøbing Landbobank, hvor hun havde en konto med et tilknyttet Visa/dankort.

Den 8. juli 2022 blev klagerens betalingskort anvendt til to betalinger til en udenlandsk betalingsmodtager, F, på hver 14.734,77 UAH (ukrainske hryvnia), i alt 29.469,54 UAH, svarende til 7.591,64 DKK.

Banken har oplyst, at klageren pr. den 15. juli 2022 havde to aktive NemID-nøgleapps:

Serienummer

Enhedstype

Installeret

Aktiveret

Sidst brugt

xxxx-xxxx-7885

iOS

11-03-2020

14-03-2020

19-05-2020

xxxx-xxxx-3480

iOS

14-07-2020

15-07-2020

15-07-2022

Banken har oplyst, at betalingerne med klagerens kort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp. Banken har registreret følgende elektroniske log over forløbet den 8. juli 2022:

Dato/tidspunkt

Beløb

Hændelse

Sikkerhedsforanstaltning

15-07-2020 - kl. 12:16:00

 

Notifikation sendt til nøgleapp med serienummeret xxxx-xxxx-7885

 

08-07-2022 – kl. 12:16:00

 

Notifikation sendt til nøgleapp med serienummeret xxxx-xxxx-3480

 

08-07-2022 – kl. 12:16:10

14.734,77 UAH  3.695,10 DKK

Transaktion accepteret i nøgleapp   med serienummeret xxxx-xxxx-3480

3D Secure

08-07-2022 – kl. 12:17:00

 

Notifikation sendt til nøgleapp med serienummeret xxxx-xxxx-7885

 

08-07-2022 – kl. 12:17:00

 

Notifikation sendt til nøgleapp med serienummeret xxxx-xxxx-3480

 

08-07-2022 – kl. 12:17:03

14.734,77 UAH 3.695,10 DKK

Transaktion accepteret i nøgleapp med serienummeret xxxx-xxxx-3480

3D Secure

08-07-2022 – kl. 12:18:05

 

Notifikation sendt til nøgleapp med serienummeret xxxx-xxxx-7885

 

08-07-2022 – kl. 12:18:05

 

Notifikation sendt til nøgleapp med serienummeret xxxx-xxxx-3480

 

08-07-2022 – kl. 12:18:25

14.734,77 UAH 3.695,10 DKK

Transaktion accepteret i nøgleapp med serienummeret xxxx-xxxx-3480

Transaktionen blev stoppet af Nets

som mistænkelig, og transaktionen blev derfor ikke gennemført.

3D Secure

Banken har oplyst, at sikkerhedsforanstaltningen 3D Secure indebærer, at hver transaktion er gennemført ved brug af både kortinformationer og indtastning af Nem- Id-oplysninger. Godkendelse sker ved verifikation i NemId-nøgleapp i form af et fysisk swipe på en fremsendt godkendelsesanmodning, hvor man bliver præsenteret for den handling, man er ved at godkende. En transaktion kan kun gennemføres, hvis den bliver godkendt.

Nets har overfor banken oplyst, at følgende tekst (godkendelsesanmodning) vedrørende beløb 14.734,77 UAH (oprindelig 15.000 UAH) er sendt til klagerens nøgleapp tre gange den 8. juli 2022:

"Betal 15.000,00 UAH til [F] fra kort xx6854"

Efterfølgende gjorde klageren indsigelse mod de to transaktioner. I indsigelsesblanketten anførte klageren, at det kun var hende, der havde haft adgang til sit kort, at hun havde opbevaret kortet i sin pung, at hun ikke selv havde foretaget købene, og at hun ikke på noget tidspunkt blev kontaktet af nogen vedrørende betaling med hendes kort.

Vedrørende hændelsesforløbet anførte klageren:

”D. 13.07.2022 kunne jeg se at der var hævet 2 gange det samme beløb på (3.795,82 kr.), hvilket svare til 7591,65 kr.

Kan se at købet er gået til [F] KIEV Ukraine

Jeg vil bare lige understrege at jeg ikke selv lavet købet.”

Klageren foretog ligeledes politianmeldelse og anførte blandt andet følgende om hændelsesforløbet:

”D. 08.07 2022 kl. 12.16 og kl. 12.18 blev der lavet to køb fra mit Visa/dankort. De to beløb som begge er gennemført lyder på 14.734,77 UAH, hvilket svare til 3795,82 DKr gange 2 (til [F] i Kiev). Det fremgår af Nets, at jeg har godkendt købet på min nøgleapp, hvilket jeg ikke har. Dermed tænker jeg at mit NemID er blevet misbrugt/stjålet. Dog har jeg selv haft mit nøglekort og min mobil under købet. Jeg har desværre ikke nogen konkrete personer under mistanke.”

Banken afviste at tilbageføre de omtvistede transaktioner til klageren, idet den vurderede, at hun ved godkendelse af transaktionerne havde udvist groft uforsvarlig adfærd, og at hun derfor selv hæftede for et beløb op til 8.000 kr.

Parternes påstande

Den 10. august 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Ringkjøbing Landbobank skal tilbageføre de ikke vedkendte transaktioner.

Ringkjøbing Landbobank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hun ikke har godkendt transaktionerne med et fysisk swipe på sin telefon og ikke på nogen måde har opført sig uansvarligt.

Hendes nøgleapp må være blevet hacket og misbrugt. Alting kan hackes af svindlere. Hun ville aldrig godkende de omtvistede transaktioner i ukrainsk valuta og på et så atypisk beløb.

Ringkjøbing Landbobank har til støtte for frifindelsespåstanden anført, at anvendelsen af klagerens NemID er en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31, og at der således ved transaktionerne blev anvendt stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.

Banken har ved en gennemgang af sine systemer ikke kunnet konstatere, at transaktionerne har været ramt af fejl, og banken har kunnet konstatere, at betalingstransaktionerne er korrekt registreret. Banken lægger således til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke har været ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98.

Banken bemærker, at én nøgleapp (dvs. et specifikt serienummer) kun kan være installeret på én enhed, ligesom der ved en godkendelsesprocedure altid skal foretages en fysisk swipe-bevægelse på enheden, og at en sådan fysisk swipe-bevægelse ikke kan foretages fra en anden enhed end den, som godkendelsesanmodningen er sendt til, ligesom godkendelsesanmodningen ikke kan fjerngennemføres.

Banken lægger til grund, at der er tale om transaktioner, som klageren selv har godkendt via en fysisk swipebevægelse på sin enhed: Eftersom godkendelsesanmodningerne med beskeden "Betal 15000,00 UAH til [F] fra kort xx6854" kun kan være fremsendt til den enhed, hvor nøgleapp med serienummeret xxxx-xxxx-3480 er installeret; da der er tale om en nøgleapp og en enhed, som klageren har anvendt siden den 15. juli 2020; og klageren i sin politianmeldelse har oplyst, at hun har haft sin mobiltelefon i sin varetægt under købene.

Klageren har således ved godkendelsen af transaktionerne udvist en groft uforsvarlig adfærd, hvorfor klageren selv hæfter for en selvrisiko på 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.

Til støtte for afvisningspåstanden har banken anført, at en afklaring af sagens hændelsesforløb vil forudsætte en yderligere bevisførelse i form af parts- og vidneafhøringer (for en gennemgang af hele forløbet), hvilket ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, hvorfor Ankenævnet bør afvise sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.   

Ankenævnets bemærkninger

Den 8. juli 2022 blev klagerens betalingskort anvendt til to betalinger til en udenlandsk betalingsmodtager, F, på hver 14.734,77 UAH (ukrainske hryvnia), i alt 29.469,54 UAH, svarende til 7.591,64 DKK.

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens NemID er en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. § 100, stk. 4, nr. 3.

Banken har anført, at betalingerne på i alt 7.591,64 DKK til F blev foretaget af klageren, idet betalingerne blev gennemført ved brug af kortinformationer samt indtastning af NemID-oplysninger. Godkendelse skete i form af et fysisk swipe på en fremsendt 3D Secure godkendelsestekst sendt til klagerens NemID-nøgleapp med serienummer xxx-xxx-3480, og klageren har oplyst, at hendes betalingskort og telefon har været i hendes besiddelse under købene. Klageren har bestridt, at hun har foretaget betalingerne. Hun var ikke blevet kontaktet vedrørende betaling med sit kort. Hun har anført, at hun må være blevet hacket, og at hackeren har kunnet godkende beløbene på hendes telefon og med hendes NemID.

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug, herunder om der er tale om misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 kr. af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse herunder i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.