Indsigelse mod at hæfte for 8.000 DKK af korttransaktion godkendt i MitID.

Sagsnummer:681/2023
Dato:31-05-2024
Ankenævn:Bo Østergaard, Morten Winther Christensen, Klaus Tougaard Kristensen, Morten Bruun Pedersen og Kim Korup Eriksen.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for 8.000 DKK af korttransaktion godkendt i MitID.
Indklagede:Jyske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Jyske Bank, hvor hun havde en konto -52 med et tilhørende Visa/Dankort -1476.

Fredag den 6. oktober 2023 blev klagerens betalingskort anvendt til betaling til en udenlandsk betalingsmodtager, S, på 1.991 EUR svarende til 14.997,72 DKK, som klageren ikke kan vedkende sig.

Klageren har oplyst, at baggrunden for betalingen var, at hun havde modtaget en SMS-besked med et link, der fremstod som værende fra MobilePay. Af SMS-beskeden fremgik følgende:

”Opdatering, detaljerne om Mobilepay udløb, onlinefunktionerne vil ikke være tilgængelige for dig: [link]”

Jyske Bank har oplyst, at transaktionen er korrekt registreret og bogført og ikke har været ramt af tekniske svigt eller andre fejl. Banken har fremlagt en udskrift fra NETS, hvoraf fremgår, at transaktionen blev gennemført med sikkerhedsløsningen 3D Secure ved godkendelse med MitID, og at følgende tekst blev sendt til klagerens MitID i forbindelse med godkendelse af kortbetalingen:

”Betal 1.991,00 EUR til [S] fra kort xxx [-1476]”

Lørdag den 7. oktober 2023 kontaktede hun banken, der kunne se, at der var reserveret et beløb, på 1.991 EUR, men at beløbet ikke var trukket. Hun anmodede banken om at afvise beløbet, men banken oplyste, at dette ikke var muligt. Den 10. oktober 2023 gjorde klageren indsigelse over for Jyske Bank mod kortbetalingen. Hun oplyste i indsigelsen, at et link førte til verificering via MitID, og at hun ikke nåede at opdage svindlen før det var for sent. I forbindelse med indsigelsen oplyste hun, at hun tilgik hjemmesiden via det link, der blev sendt i SMS-beskeden. I et ”flash” kom et euro-beløb op på skærmen, som hun ikke nåede at se. Straks efter godkendelsen informerede hun banken herom, hvorefter banken spærrede hendes bankkonti.

Beløbet på 14.997,72 DKK blev debiteret på klagerens konto -1476 den 10. oktober 2023.

Banken godtgjorde klagerens tab på 14.997,72 DKK fratrukket 8.000 DKK, svarende til 6.997,72 DKK.

Parternes påstande

Den 10. november 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal godtgøre hende 8.000 DKK.

Jyske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hun er blevet udsat for identitetstyveri.

Linket i SMS’en havde samme blå farver og opsætning som MobilePay og MitID. Det var vellignende, og det fik hende til at tro, at det var ægte.

Yderligere skulle hun bruge MobilePay dagen efter, hvorfor hun blev urolig og klikkede på linket. I et ”flash” kom et euro-beløb op på skærmen, som hun ikke nåede at registrere, og hun endte dermed med at godkende en betaling på 1.991 EUR.

Hun kontaktede banken for at få oplyst det beløb, der var trukket fra hendes konto. I den forbindelse bad hun banken om at afvise det beløb, der var blevet "reserveret" på hendes konto, da saldoen på kontoen kun var på 1.700 DKK. Trækning af det reserverede beløb ville medføre et betydeligt overtræk på kontoen, som normalt ville udløse en reaktion fra bankens side.

Princippet om, at tvivlen skal komme hende til gode, bør gælde, da hun ikke anede, at hun var blevet svindlet, hvorfor det er en fair behandling af sagen, at hun får dækket de resterende 8.000 DKK.

Jyske Bank har til støtte for frifindelsespåstanden anført, at transaktionen er korrekt registreret og bogført og ikke har været ramt af tekniske svigt eller andre fejl.  Klageren autoriserede transaktionen med sin MitID, og transaktionen blev dermed godkendt med stærk kundeautentifikation.

Klageren har ifølge hende selv fulgt et link i en falsk SMS-besked, hvori hun fik oplyst, at hun skulle opdatere sine oplysninger på MobilePay. Yderligere indtastede hun sine kortoplysninger og godkendte betalingstransaktionen i sin egen MitID-app. 

Det fremgik af godkendelsesteksten i klagerens MitID, at betalingsmodtageren var S, og at beløbet på 1.991 EUR ville blive trukket på hendes betalingskort. Det måtte derfor være klart for klageren, at hun var ved at foretage en betaling på 1.991 EUR til en anden betalingsmodtager.

SMS-beskeden indeholdt et underligt link, og var uklart formuleret på dårligt dansk. Den inkluderede et udtryk som ”detaljerne om Mobilepay udløb” og en forkert stavning af MobilePay, der staves med et stort ”P”, hvorfor klageren burde have undersøgt sagen nærmere, før hun fulgte linket og godkendte betalingen.

Det fremgik klart af godkendelsesteksten, at klageren ikke var i færd med at tilknytte/opdatere oplysninger på MobilePay, men derimod var i færd med at godkende og gennemføre en betaling til en betalingsmodtager, S.

Det bestrides, at der ”i et flash kommer et Euro-beløb” op på skærmen, som klageren ikke nåede at se.  

Klageren muliggjorde betalingen ved groft uforsvarlig adfærd, hvorfor hun hæfter med 8.000 DKK, jf. betalingslovens § 100, stk. 4.

Det følger af betalingslovens § 111, at en betalingsordre ikke kan tilbagekaldes efter, at den er modtaget af banken. Betalingen blev modtaget af banken på det tidspunkt, hvor den blev godkendt med klagerens kortoplysninger via MitID den 6. oktober 2023 kl. 20:33. Dette tidspunkt var banken ikke berettiget til at tilbageføre betalingen. Det gælder uanset, at betalingen i første omgang alene er reserveret på klagerens konto.

Jyske Bank har til støtte for afvisningspåstanden anført, at der foreligger en usikkerhed om det faktisk passerede i sagen, herunder hvilke betalingsoplysninger klageren har fået vist i betalingsflowet. En vurdering af sagen vil kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Jyske Bank, hvor hun havde en konto -52 med et tilhørende Visa/Dankort -1476.

Den 6. oktober 2023 blev klagerens betalingskort anvendt til betaling til en udenlandsk betalingsmodtager, S, på 1.991 EUR svarende til 14.997,72 DKK, som klageren ikke kan vedkende sig.

Klageren har oplyst, at baggrunden for betalingen var, at hun havde modtaget en SMS-besked med et link, der fremstod som værende fra MobilePay. Klageren har anført, at hun ikke nåede at registrere beløbet og beløbsmodtager, da hun swipede. Klageren har anført, at hun anmodede banken om at afvise det reserverede beløb på kontoen. Banken har anført, at klageren selv godkendte betalingen i sin MitID-app, hvor beløb, beløbsmodtager og valuta fremgik ved godkendelsen. Banken har anført, at det ikke er muligt at tilbagekalde transaktioner, der er blevet godkendt.

Banken har dækket klagerens tab med fradrag af 8.000 DKK.

Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter den var godkendt, uanset tidspunkt for den efterfølgende spærring af kortet og debitering af beløbet på klagerens konto.

Ankenævnet lægger til grund, at betalingen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at godkendelse af betalingen i klagerens MitID skete ved anvendelse af personlige sikkerhedsforanstaltninger, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Bo Østergaard, Morten Winther Christensen og Klaus Tougaard Kristensen – udtaler:

Vi lægger til grund, at klageren må have godkendt betalingen på i alt 1.991 EUR med sit MitID.

Vi finder herefter, at Jyske Bank har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, hvor hun fik oplysninger om beløbet på 1.991 EUR og beløbsmodtageren, S, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Kim Korup Eriksen – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Vi finder ikke, at Jyske Bank har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at Jyske Bank er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, Jyske Bank skal tilbageføre 7.625 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.