Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 kr. af korttransaktioner. Aktivering/installation af MitID på svindlers enhed.

Sagsnummer: 734/2023
Dato: 19-08-2024
Ankenævn: Henrik Waaben, Inge Kramer, Nanna Vetter Viberg Nielsen, Rolf Høymann Olsen og Poul Erik Jensen
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 kr. af korttransaktioner. Aktivering/installation af MitID på svindlers enhed.
Indklagede: Djurslands Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktion og overførsler.

Sagens omstændigheder

Klageren var kunde i Djurslands Bank, hvor hun havde en konto med et tilknyttet betalingskort -621. Klageren drev erhvervsvirksomhed og havde en erhvervskonto -267 i banken. Klageren havde herudover råderetten over hendes to mindreårige døtre M og N’s konti -122 og -114.

Den 16. april 2022 installerede klageren MitID -706 på sin iPhone 11.

Banken har fremlagt en udskrift af klagerens MitID-log og har anført, at klagerens eksisterende MitID -706 den 22. september 2023 blev anvendt til at logge på og anmode om adgang til at ændre oplysninger i MitID. Banken har anført, at der i denne sammenhæng blev sendt en SMS til klagerens mobiltelefonnummer med følgende indhold:

”Du får adgang til at ændre oplysninger på MitID’s hjemmeside om 1 time(r).

Har du ikke bedt om adgang ring til MitID support.

…”

Banken har anført, at der en time senere blev givet adgang til at ændre i MitID, og at der i denne sammenhæng blev sendt en SMS til klagerens mobiltelefonnummer med følgende indhold:

”Du kan nu logge på MitID’s hjemmeside og ændre dine oplysninger i 24 time(r).

Har du ikke bedt om dette? Ring til MitID support.

…”

Banken har anført, at samme MitID -706 en time senere blev anvendt til at ændre telefonnummeret og iværksætte installation af MitID -136. Den 22. september 2023 kl. 17:42 blev MitID -136 installeret.

Banken har anført, at MitID -136 herefter blev anvendt til at installere MitID -423. Den 22. september 2023 kl. 17:50 blev MitID -423 installeret.

Den 28. september 2023 blev der trukket to betalinger på hver 141,58 kr. fra klagerens erhvervskonto -267 til betalingsmodtager G. Den 30. september 2023 meddelte klageren banken, at hun ikke havde foretaget betalingerne og anmodede banken om at undersøge, hvilke betalinger der var tale om.

Den 2. oktober 2023 blev der foretaget en kontooverførsel fra N’s konto -114 til en konto i pengeinstitut P på 9.900 kr.

Samme dag blev der foretaget en overførsel fra M’s konto -122 til N’s konto -114 på 9.000 kr.

Den 3. oktober 2023 blev klagerens betalingskort -621 anvendt til at foretage en kortbetaling på 5.000 kr. til en konto i pengeinstitut P. 

Samme dag blev der trukket tre betalinger på hhv. 274,15 kr., 136,76 kr. og 440,07 kr. fra klagerens erhvervskonto -267 til betalingsmodtager A og B.

Banken har anført, at MitID -136 blev anvendt til at logge ind i netbanken og godkende overførslen af 9.900 kr. til en konto i pengeinstitut P og til at godkende overførslen fra M’s konto -122 til N’s konto -114. Banken har herudover anført, at MitID -136 blev anvendt til at logge ind i netbanken, hvor tredjemand indhentede de nødvendige kortoplysninger, så tredjemand kunne foretage kortbetalingen på 5.000 kr.

Klageren gjorde indsigelse mod betalingen og overførslen. Klageren anmeldte sagen til politiet. Banken meddelte klageren, at den ville dække tabet udover 8.000 kr.

Den 30. oktober 2023 gjorde klageren indsigelse mod bankens afgørelse. Den 14. november 2023 fastholdt banken sin afgørelse.

Klageren har fremlagt udskrifter af artikler fra september og december 2023, hvoraf fremgår, at iPhones har en sårbarhed, som tredjemand kan udnytte, uden at offeret aktivt skal gøre noget, og at Apple den 30. november 2023 udviklede en opdatering, som fjernede sårbarheden.

Klageren har fremlagt et billede fra klagerens videoovervågning i sin stue af 22. september 2023 kl. 17:50. Klageren har anført, at videoen viser, at hun var hjemme med sine børn og en af børnenes legekammerater, og at hun var i færd med at dække bord til aftensmad.

Parternes påstande

Den 5. december 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Djurslands Bank skal godtgøre hende 8.000 kr.

Djurslands Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hun i september 2023 blev udsat for identitetstyveri. Hendes MitID var blevet stjålet fra hendes mobiltelefon, og der var stjålet penge fra hendes konto og hendes børns konto til en fremmed konto i pengeinstitut P. Identitetstyveriet er politianmeldt.

Alle handlinger og hændelser i forbindelse med identitetstyveriet er foretaget uden hendes viden eller medvirken. Hun havde på intet tidspunkt delt eller videregivet personlige koder eller oplysninger til tredjemand. Hun har meddelt banken, at hun ikke var involveret i kriminelle handlinger. Hun har tekniske beviser, der dokumenterer dette, alligevel har banken valgt at tilsidesætte de tekniske beviser og fastholde sit krav.

Hverken hun eller nogen i hendes husstand ejer mobiltelefoner, der var anvendt i forbindelse med oprettelsen af de efterfølgende MitID-identifikationsmidler. Hun er heller ikke bekendt med det mobiltelefonnummer, som tredjemand ændrede i MitID. En reel efterforskning kunne påvise, hvem der ejede mobiltelefonnummeret, så ejerne kunne spores.

Banken har anført, at MitID -706 er anvendt til tyveriet, og henviser til MitID-loggen. Af MitID-loggen fremgår en IP-adresse fra den internetudbyder, som tredjemand anvendte. Det fremgår af denne, at IP-adressen er -.121, som er internetudbyder D. Hun havde selv internetudbyder F og hendes IP-adresse er -.213. Det var derfor ikke hendes IP-adresse, der blev anvendt i forbindelse med anvendelsen af MitID -706. Banken brugte kun dele af MitID-loggen og ikke hele loggen i dens helhed. Adskillige IP-adresser blev brugt i forbindelse med svindlen, herunder IP-adresser fra internetudbyderne T, L og P. Hun klikkede ikke på links fra netværk, hvor de pågældende internetudbydere var. Hun har ikke anvendt software til at sløre sin IP-adresse eller overdraget sit MitID til tredjemand.

Professionelle svindlere kunne anvende den beskrevne sårbarhed i Apple-telefoner, som blev fjernet den 30. november 2023, til at stjæle hendes MitID, uden at hun havde viden om det.

Hun henvendte sig den 30. september 2023 vedrørende misbruget af sin erhvervskonto -267. Banken foretog sig først noget den 3. oktober 2023, da den tilbageførte betalingerne til kontoen. Banken så ingen grund til at slå alarm og undersøge forholdet nærmere, men antog bare, at der var tale om fejltransaktioner. Banken burde have handlet mere ansvarsfuldt, når ukendte betalinger var blevet foretaget.

Hendes kreditkortoplysninger, kortnummer og PIN-koder lå frit tilgængeligt i netbanken. Når en svindler får adgang til netbanken, kan PIN-koderne hentes direkte i netbanken uden videre beskyttelse.

Hun har ikke handlet groft uagtsomt. Til gengæld har hun bevist, at professionelle svindlere har skaffet sig uberettiget adgang til iPhones i perioden for tyveriet.

Djurslands Bank har til støtte for frifindelsespåstanden anført, at transaktionerne er korrekt registreret og bogført. Klageren har selv ifølge MitID-loggen med sit MitID med serienummer -706 initieret og autoriseret adgang til at ændre i MitID-profilen og dermed adgang til at ændre telefonnummer og at installere et nyt MitID-identifikationsmiddel på en anden enhed. Oprettelsen og autorisationen sker ganske kort tid før de omtvistede transaktioner, der alle er 3D-autoriseret med den nyetablerede MitID.

Det fremgår tydeligt, at processen for at etablere adgang til at ændre i MitID-profilen og til at installere et nyt MitID-identifikationsmiddel forudsætter anvendelse af det eksisterende aktive MitID-identifikationsmiddel, og at der advares med SMS’er til et bestående telefonnummer. Det har efter indklagedes opfattelse formodningen imod sig, at etableringen af den nødvendige adgang kan ske ved simpel uagtsomhed eller uden indehaverens medvirken. Modsat konklusion fjerner enhver tillid til sikkerheden i MitID-systemet.

Accept af og efterfølgende manglende reaktion på advarsels-SMS omkring etablering af adgang til at ændre i MitID-profilen er efter indklagedes opfattelse groft uagtsomt og dermed omfattet af betalingslovens § 100, stk. 4, nr. 3, fordi klageren derved åbner for misbrug af såvel kort som netbank og alle øvrige steder, hvor MitID kan anvendes.

Banken har til støtte for afvisningspåstanden anført, at klageren har en markant anden opfattelse af hændelsesforløbet, end det der kan konstateres i logs fra MitID og fra Nets.

En afklaring af sagens nærmere omstændigheder, herunder klagerens medvirken og om uagtsomhedsniveauet heri, gør, at sagen skal afgøres efter betalingsloven § 100, stk. 4, nr. 2 og 3, og forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene.

Ankenævnets bemærkninger

Den 22. september 2023 blev klagerens eksisterende MitID -706 anvendt til at installere et nyt MitID -136, som den 2. oktober 2023 blev anvendt til at logge ind på netbank og gennemføre en kontooverførsel på 9.900 kr. fra klagerens mindreårige datter N’s konto -114, som klageren havde råderet over, til en konto i pengeinstitut P. Den 3. oktober 2023 blev klagerens betalingskort -621 anvendt til at foretage en kortbetaling på 5.000 kr. til en konto i pengeinstitut P.

Banken har dækket tabet med fradrag af 8.000 kr.

Ankenævnet lægger til grund, at transaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Klageren har anført, at alle handlinger og hændelser i forbindelse med identitetstyveriet er foretaget uden hendes viden eller medvirken. Banken har anført, at klageren med sit MitID -706 godkendte aktiveringen af et ny MitID -136 på tredjemands enhed, hvorved klageren ved groft uforsvarlig adfærd muliggjorde gennemførslen af de ikke vedkendte transaktioner.

Ankenævnet finder, at en afklaring af de nærmere omstændigheder omkring aktiveringen af MitID på tredjemands enhed forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.