Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev gennemført som en 3D Secure transaktion ved godkendelse med MitID. Phishing.

Sagsnummer: 394/2023
Dato: 28-02-2024
Ankenævn: Bo Østergaard, Jonas Thestrup Nielsen, Jimmy Bak, Morten Bruun Pedersen og Kim Korup Eriksen.
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - øvrige spørgsmål
Ledetekst: Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev gennemført som en 3D Secure transaktion ved godkendelse med MitID. Phishing.
Indklagede: Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev gennemført som en 3D Secure transaktion ved godkendelse med MitID.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor han havde en konto -370 med et tilknyttet Visa/Dankort.

Den 15. februar 2023 blev der med klagerens betalingskort foretaget en betaling på 2.818 EUR svarende til 21.002,74 DKK til en betalingsmodtager. Klageren kan ikke vedkende sig betalingen.

Om baggrunden for betalingen har klageren oplyst, at han den 15. februar 2023 modtog en SMS, der så ud til at komme fra MitID. Af SMS’en fremgik, at hans MitID var deaktiveret, og at han skulle trykke på et link i SMS’en for at genaktivere det. Før han trykkede på linket, søgte han forgæves på internettet efter sager, hvor bankkunder var blevet svindlet ved lignende metoder. Da han ikke fandt lignende sager, trykkede han på linket for at få genaktiveret sit MitID. Han blev videresendt til MitID-autorisation og bedt om MitID bruger-ID. Der blev ikke nævnt noget om en betaling. Der blev vist en Login-side, som han troede var for at tjekke MitID aktiveringsstatus. Der blev ikke vist noget beløb, hverken i EUR eller i DKK. På den følgende side blev han bedt om at godkende, hvilket han gjorde. Heller ikke her blev der vist noget beløb, hverken i EUR eller i DKK, og han godkendte således ikke en betaling på 2.818 EUR. Han forventede herefter, at der ville blive åbnet en ny hjemmeside med aktivering af hans MitID, men der skete ikke yderligere. Han blev herefter i tvivl om formålet med godkendelsen. To dage senere kunne han se, at der var blevet trukket et beløb på 21.002,74 DKK på hans konto.

I sagen er fremlagt et screenprint af den SMS, som klageren modtog:

”Din MitID deaktiveret fra dit kort, vil du ikke være i standt til at godkende alle dine online transaktioner: https://aktivere-MitID.web.app”

Banken har oplyst, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app A[-4291], der blev installeret på klagerens mobiltelefon (iPhone SE 2nd Generation) den 4. maj 2022, og at der ikke efterfølgende er blevet tilføjet yderligere enheder til MitID-appen.

Klageren har bekræftet, at han ejer en iPhone SE 2nd Generation.

Banken har fremlagt Processing Details fra Nets, hvoraf blandt andet fremgår, at der den 15. februar 2023 blev foretaget en betaling på 2.818 EUR, som blev godkendt med MitID.

Banken har endvidere fremlagt den tekst, der blev sendt til klagerens MitID-app i forbindelse med godkendelse af betalingen:

”Betal 2818,00 EUR til [betalingsmodtager] fra kort xx8370”

Klageren har bestridt at have modtaget denne tekst i sin MitID-app.

Banken har oplyst, at transaktionen er korrekt registreret og bogført, og ikke ramt af tekniske svigt eller andre fejl.

Ved tro- og loveerklæring af 17. februar 2023 gjorde klageren indsigelse mod betalingen. Af erklæringen fremgår blandt andet, at klageren var i besiddelse af sit betalingskort på tidspunktet for betalingen, og at han hverken foretog eller godkendte den omstridte betaling.

Ved e-mail af 20. februar 2023 til klageren meddelte banken, at han selv hæftede for 8.000 DKK af tabet, da betalingen var godkendt i hans MitID-app, der var installeret på hans mobiltelefon. Banken godtgjorde på den baggrund klageren for tabet fratrukket et beløb på 8.000 DKK, svarende til 13.002,74 DKK.

Samme dag klagede klageren over bankens afgørelse.

Ved e-mail af 10. marts 2023 fastholdt banken sin afgørelse.

Parternes påstande

Den 5. juli 2023 har klageren indbragt sagen for Ankenævnet med principal påstand om, at Danske Bank skal refundere 7.625 DKK til ham, subsidiært et mindre beløb.

Danske Bank har nedlagt påstand om principalt frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har blandt andet anført, at han har været udsat for svindel, og at banken bør kompensere ham for det fulde tab, dog fratrukket 375 DKK.

Han godkendte ikke betalingen på 2.818 EUR, og han forstår ikke, hvordan den kunne gennemføres uden hans godkendelse. Han indtastede ikke sine betalingskortoplysninger, han oplyste ikke sine personlige MitID-oplysninger, og der var ikke noget, der indikerede, at han selv var ved at foretage en betaling. Han ville aldrig have accepteret at skulle betale noget for at genaktivere sit MitID. Han modtog kun en SMS med besked om, at hans MitID var deaktiveret, og at han skulle trykke på linket for at genaktivere det, hvilket var det eneste, han gjorde. Han handlede ikke groft uforsvarligt, da han bevidst læste alt det, han blev præsenteret for på skærmen.

De meddelelser han blev præsenteret for, viste hverken betalingsmodtager eller et beløb. Det fremgik ikke på noget tidspunkt, at han var i færd med at godkende en betaling. Han blev vildledt på grund af manglen på gennemsigtig information og beskrivelse af den handling, som han godkendte.  

Han bestrider gyldigheden af den tekst, som banken påstår blev sendt til hans MitID-app. Han læste den tekst, han blev præsenteret for i MitID-appen, og det er ikke den, som banken har fremlagt. Han undrer sig over, hvor denne tekst kommer fra, og hvorfor den ikke stemmer overens med hans erindring. Selv i det tilfælde, at han var blevet præsenteret for den tekst, som banken påstår, så ville det ikke have stemt overens med hans forventninger, da han regnede med, at han var ved at genaktivere sit MitID.

Han optræder altid meget forsigtigt, når han interagerer online, og han sørger altid for at læse og forstå meddelelser, før han autoriserer nogen betalinger. Han er bekendt med, at uautoriserede betalinger kan ske under vildledende omstændigheder, og han ville derfor aldrig have godkendt betaling af nogen art. Svindlen var meget sofistikeret, og han blev forledt til at tro, at han deltog i en lovlig proces.

Hverken banken eller MitID har advaret sine kunder om risikoen for IT-svindel, hverken ved at meddele, hvilken kommunikation, der anses for acceptabel og hvilken, der ikke gør. Derudover meddeler MitID ikke sine kunder om, hvordan man skaber et sikker MitID bruger-ID, hvilket er essentielt for at forebygge IT-svindel.

Han havde en forventning om, at banken ville kommunikere til ham, hvordan IT-svindel undgås og gøre ham opmærksom på eventuelle uregelmæssigheder.

Danske Bank har til støtte for frifindelsespåstanden anført, at klageren via phishing kom til at foretage og godkende betalingen selv, hvorfor forholdet er omfattet af betalingslovens § 100, herunder stk. 4. Dette gælder uanset hvor godt gennemført, misledende og foruroligende phishingoplevelsen var for klageren.

Betalingen blev godkendt i klagerens MitID-app, der var installeret på hans mobiltelefon, hvormed betalingen blev godkendt med stærk kundeautentifikation.

Både betalingsmodtageren og beløbet, der blev godkendt, fremgik klart og tydeligt af teksten, der blev vist i klagerens MitID-app. Teksten er pålidelig og ægte.

Klageren kom selv til at godkende betalingen. Han burde have læst teksten i forbindelse med godkendelsen, og dermed have undladt at godkende betalingen.

Klageren burde have været mere skeptisk over for en besked fra det, der fremstod som MitID, der tilmed var formuleret dårligt. Det er ikke sandsynligt, at oplysning om deaktivering og reaktivering af MitID sendes i en SMS.

Hvis klageren havde udvist en større grad af forsigtighed, eksempelvis ved at have læst teksten i MitID-appen, og have været mere skeptisk over for beskeden og det medsendte link, så kunne betalingen have været forhindret.

Klageren befandt sig ikke i en presset situation svarende til eksempelvis den situation, hvor misbrug sker i forbindelse med en telefonisk henvendelse. Uanset hvor ansvarlig og årvågen klageren generelt opfører sig online, så har han ved groft uforsvarlig adfærd muliggjort denne konkrete betaling, hvorfor han bør hæfte med 8.000 DKK selv, jf. betalingslovens § 100, stk. 4, og ikke kun med 375 DKK efter betalingslovens § 100, stk. 3.

Til støtte for afvisningspåstanden har banken anført, at klagerens påstand om, at han ikke foretog betalingen, ikke hænger sammen med det faktiske hændelsesforløb, herunder at betalingen blev autoriseret med hans MitID-app. En vurdering af sagen vil derfor kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. vedtægternes § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Danske Bank, hvor han havde en konto og et Visa/Dankort.

Den 15. februar 2023 blev der med klagerens betalingskort foretaget en betaling på 2.818 EUR svarende til 21.002,74 DKK, som klageren ikke kan vedkende sig.

Om baggrunden for betalingen har klageren oplyst, at han modtog en SMS, der fremstod som værende fra MitID, hvoraf fremgik, at hans MitID var blevet deaktiveret, og at han skulle trykke på et link i SMS’en for at genaktivere. Han trykkede på linket, loggede ind på MitID og godkendte genaktivering. Han godkendte ikke en betaling.

Banken har anført, at den omtvistede betaling blev godkendt af klageren, idet betalingen blev gennemført ved brug af hans MitID-app.

Banken har dækket klagerens tab med fradrag af 8.000 DKK.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Banken har anført, at transaktionen på 2.818 EUR blev godkendt med klagerens Mit-ID-app, og at klageren blev præsenteret for en tekst i MitID-appen, hvoraf beløb og betalingsmodtager fremgik. Klageren har bestridt at have oprettet og godkendt transaktionen, ligesom han har bestridt at have modtaget en besked i MitID-appen med oplysning om, at han var ved at foretage en betaling, herunder beløb og betalingsmodtager.

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der er tale om misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.