Sagsnummer: | 352/2024 |
Dato: | 19-12-2024 |
Ankenævn: | Vibeke Rønne, Jonas Thestrup Nielsen, Andreas Moll Årsnes, Rolf Høymann Olsen og Jørgen Lanng. |
Klageemne: | Betalingstjenester - spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger |
Ledetekst: | Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID. |
Indklagede: | Sparekassen Danmark |
Øvrige oplysninger: | |
Senere dom: | |
Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Sparekassen Danmark, hvor han blandt andet havde en konto med et tilknyttet betalingskort -9135.
Klageren har oplyst, at han den 21. maj 2024 modtog en e-mail, der fremstod som værende fra Bilka. Af e-mailen fremgik, at klageren havde mulighed for at deltage i en forbrugerundersøgelse. Han valgte at deltage og besvarede nogle spørgsmål. Omkring et minut derefter fik han besked om, at han uden beregning kunne vælge at modtage et ur, en højttaler med videre. Han skulle dog selv betale 30,75 DKK for fragt. Han godkendte betalingen af fragt i sin MitID-app og modtog cirka ti minutter senere en sms fra sparekassen, hvor den orienterede om, at der ville blive bogført en postering på DKK 23.202,87 eller 3.075 EUR.
Den 21. maj 2024 blev der gennemført en kortbetaling på 3.078,63 EUR svarende til 23.202,87 DKK med klagerens betalingskort -9135 til en udenlandsk betalingsmodtager, X, som klageren ikke kan vedkende sig.
Sparekassen har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app og har fremlagt transaktionsdetaljer fra Nets med teksten, der blev sendt til MitID-app i forbindelse med godkendelsen af betalingen. Af teksten fremgik:
”Betal 3078,63 EUR til [betalingsmodtager X] fra kort xx9135”
Sparekassen har oplyst, at transaktionen var korrekt registreret og bogført.
Klageren har anført, at han hurtigt fik spærret sit betalingskort samt sin MitID og gjorde indsigelse mod betalingen. Han har ligeledes anmeldt sagen til politiet.
Den 13. juni 2024 godtgjorde sparekassen klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 15.202,87 DKK til klagerens konto.
Klageren gjorde indsigelse mod sparekassens afgørelse, men sparekassen fastholdt sin afgørelse.
Parternes påstande
Den 30. juni 2024 har klageren indbragt sagen for Ankenævnet, der har forstået klagerens påstand således, at Sparekassen Danmark skal godtgøre ham 8.000 DKK.
Klageren har derudover nedlagt påstand om, at Sparekassen Danmark samt andre betalingskortudbydere skal tilpligtes at sende en sms-besked om en forestående transaktion, der er godkendt via mobil-app samt en talkode, som skal udfyldes, inden betalingen kan gennemføres.
Sparekassen Danmark har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at han og hans hustru jævnligt foretager deres indkøb i Bilka, som de opfatter som en troværdig virksomhed. Han er fra sit arbejde meget velorienteret om phishing og anden databedrageri, men der var intet påfaldende ved den e-mail, der fremstod som værende en forbrugerundersøgelse fra Bilka. Der var ingen alarmklokker, der ringede. Da han efterfølgende modtog oplysning om, at han kunne vælge en genstand uden beregning, var der stadig ingen alarmklokker, der ringede, da det fremstod sandsynligt, at Bilka havde fået dem produceret til lave priser i udlandet.
Han medgiver, at han godkendte betalingen i MitID-appen lidt for hurtigt, men nogle gange swiper man bare uden videre.
Der burde derfor indføres en ekstra kontrolmekanisme i Netbanken, ligesom når man betaler pengene fra sin mobil-app. Det er en stor fejl ved det finansielle system i Danmark, at der ikke er en sådan ekstra forbrugerbeskyttelse. Havde han modtaget en forudgående kontrol-sms havde han aldrig godkendt beløbet, og det ville være med til at dæmme op for databedrageri.
Finanstilsynet burde ikke forhindre de finansielle virksomheder i at stille forbrugeren bedre, end det som følger af lovgivningen. Modtager kunden en sms forud for en transaktion, kommer det jo alle parter til gode.
Sparekassen Danmark har anført, at betalingsloven fastsætter grænserne for sparekassens forpligtelser til at godtgøre klageren.
Parterne er enige om de faktiske omstændigheder, idet klageren erkender at have swipet i sin MitID-app.
Sparekassen hæfter som udgangspunkt for tab som følge af uautoriserede betalinger, det vil sige betalinger, som betaleren ikke har godkendt. En betalingstransaktion er autoriseret, hvis betaleren har givet samtykke til at gennemføre transaktionen. ”Autorisere” forstås som at ”godkende”. Sparekassen er som betalingsudbyder forpligtet til at gennemføre en autoriseret betalingstransaktion.
Betalingen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl. Klagerens MitID er en personlig sikkerhedsforanstaltning, og udgør en stærk kundeautentifikation.
Klageren har autoriseret betalingen ved at swipe i sin MitID-app, men sparekassen hæfter som udbyder af betalingstjenester for tab som følge af andres uberettigede anvendelse af en betalingstjeneste. Har betaleren ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse, hæfter betaleren for 8.000 DKK af tabet, jf. betalingsloven § 100, stk. 4.
Forud for godkendelsen af betalingstransaktionen blev klageren præsenteret for en tekst, hvoraf den registrerede betalingsmodtager, X, og det omtvistede beløb fremgik. Disse oplysninger burde klageren have reageret på. I stedet godkendte klageren betalingen. Klageren har derfor ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse af kortet. Klageren skal derfor hæfte for 8.000 DKK af tabet ved den uberettigede anvendelse af sit kort.
Det er fast praksis hos Ankenævnet, at en manglende reaktion på tekst og beløb forud for et swipe i MitID anses for groft uforsvarlig adfærd. Se hertil blandt andet. Ankenævnets sag 7/2023, hvor Ankenævnet fandt, at en klager havde muliggjort den uberettigede anvendelse, da klageren burde have reageret på teksten i MitID-appen, hvorfor den pågældende klager hæftede med op til 8.000 DKK.
Sparekassen har i forhold til klagerens påstand om, at betalingskortudbydere skal tilpligtes at sende en sms-besked om en forestående transaktion, der er godkendt via mobil-app samt en talkode, som skal udfyldes, inden betalingen kan gennemføres, anført, at et pengeinstitut skal sikre, at betalingstjenester har adgang til betalingssystemer på objektive, ikkediskriminerende og proportionale vilkår, jf. betalingsloven § 64.
I den forbindelse har Finanstilsynet tidligere udstedt et påbud til pengeinstitutterne om, at disse skal sikre, at en bruger kun skal udføre kundeautentifikation én gang for at iværksætte en betaling, jf. Finanstilsynets påbud af 20. juni 2023 om ikke at skabe hindringer for udførelse af tredjepartstjenester via pengeinstitutters dedikerede interface, jf. artikel 32, stk. 3, i forordning (EU) 2018/389.
Ved godkendelse i MitID har klageren udført én kundeautentifikation. Sparekassen har hverken ret eller pligt til at sende en sms-kode, som et ekstra sikkerhedslag for en betalingsløsning som den pågældende.
Ankenævnets bemærkninger
Klageren var kunde i Sparekassen Danmark, hvor han blandt andet havde en konto med et tilknyttet betalingskort -9135.
Klageren har oplyst, at han den 21. maj 2024 modtog en e-mail, der fremstod som værende fra Bilka. Af e-mailen fremgik, at klageren havde mulighed for at deltage i en forbrugerundersøgelse. Han valgte at deltage og besvarede nogle spørgsmål. Omkring et minut derefter fik han besked om, at han uden beregning kunne vælge at modtage et ur, en højttaler med videre. Han skulle dog selv betale 30,75 DKK for fragt. Han godkendte betalingen af fragt i sin MitID-app og modtog cirka ti minutter senere en sms fra sparekassen, hvor den orienterede om, at der ville blive bogført en postering på DKK 23.202,87 eller 3.075 EUR.
Klageren har anført, at han fra sit arbejde er meget velorienteret om phishing og anden databedrageri, men at der ikke var nogle alarmklokker, der ringede. Han medgiver, at han godkendte betalingen i MitID-appen lidt for hurtigt.
Den 21. maj 2024 blev der gennemført en kortbetaling på 3.078,63 EUR svarende til 23.202,87 DKK med klagerens betalingskort -9135 til en udenlandsk betalingsmodtager, X, som klageren ikke kan vedkende sig.
Sparekassen har anført, at kortbetalingen af 21. maj 2024 blev godkendt med stærk kundeautentifikation i klagerens MitID-app, og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 3078,63 EUR til [betalingsmodtager X] fra kort xx9135”.
Klageren har anført, at sparekassen skal tilpligtes at sende en sms-besked om en forestående transaktion, ligesom når man betaler pengene fra sin mobil-app. Det er en stor fejl ved det finansielle system i Danmark, at der ikke er en sådan ekstra forbrugerbeskyttelse.
Sparekassen har anført, at sparekassen hverken har ret eller pligt til at sende en sms-kode, som et ekstra sikkerhedslag for en betalingsløsning.
Ankenævnet kan ikke pålægge sparekassen at sende en sms-besked om en forestående transaktion, der er godkendt via mobil-app samt en talkode, som skal udfyldes, inden betalingen kan gennemføres.
Den 13. juni 2024 godtgjorde sparekassen klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 15.202,87 DKK til klagerens konto.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Vibeke Rønne, Jonas Thestrup Nielsen og Andreas Moll Årsnes – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 3.078,63 EUR i sin MitID.
Vi finder, at sparekassen har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID, hvor han fik oplysninger om beløbet på 3.078,63 EUR og beløbsmodtageren, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Rolf Høymann Olsen og Jørgen Lanng – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at sparekassen har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at sparekassen er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at sparekassen skal tilbageføre 7.625 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.