Indsigelse mod at hæfte for 8.000 DKK af korttransaktion godkendt i MitID.

Sagsnummer:43/2024
Dato:30-08-2024
Ankenævn:Henrik Waaben, Jimmy Bak, Mette Lindekvist Højsgaard, Rolf Høymann Olsen og Anna Marie Schou Ringive.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod at hæfte for 8.000 DKK af korttransaktion godkendt i MitID.
Indklagede:Nordea Danmark
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun havde et Visa/dankort -3128.

Den 13. december 2023 blev der med klagerens Visa/dankort foretaget en kortbetaling på 1.329 EUR svarende til 9.960,43 DKK til en udenlandsk betalingsmodtager, M. Klageren kan ikke vedkende sig betalingen.

Banken har oplyst, at betalingen blev godkendt ved brug af MitID-app. Banken har fremlagt uddrag af klagerens MitID log. Banken har endvidere fremlagt en udskrift fra Nets med teksten, der blev sendt til MitID-app i forbindelse med godkendelsen. Af teksten fremgik:

”Betal 1329,00 EUR til [M] fra kort xx3128.”

Banken har oplyst, at transaktionen var korrekt registreret og bogført, og at betalingen ikke var ramt af tekniske svigt eller andre fejl.

Klageren har anført, at hun ikke har godkendt betalingen, og at hun er blevet hacket. Hun modtog en e-mail, der så ud til at være fra hendes internetudbyder, S, med anmodning om at betale en faktura. Da hun trykkede på fodnoten med fakturaen, kom Nets’ logo frem. Derefter fik en anden kontrol over hendes computer.

Den 20. december 2023 blev beløbet på 9.960,43 DKK trukket på klagerens konto.

Den 20. december 2023 gjorde klageren indsigelse mod betalingen over for banken og anførte blandt andet:

”… Jeg er blevet snydt af en phishing mail fra svindlere, som vil have mig til at tro at det var [S] som skrev til mig….”

Klageren anmeldte endvidere sagen til politiet.

Banken godtgjorde klagerens tab fratrukket 8.000 DKK svarende til 1.960,43 DKK. I meddelelse af 2. januar 2024 skrev banken til klageren:

”… I min vurdering lægger jeg vægt på, at du godkendte transaktionen med din MitID. Det fremgik klart af din MitID-app, at du godkendte: ”Betal 1329,00 EUR til [M] fra kort xx3128”. … Godkendelsen skete 13. december kl. 15.59. Godkendelsen fremgår også af ”Seneste aktiviteter” som du kan finde via din side på MitID.dk.

Der er ikke dækningskontrol af saldo ved træk på Visa/dankort. At der på trækningstidspunktet har stået mindre på kontoen end trækningsbeløbet har således ingen indflydelse på transaktionens gennemførelse. …”

Parternes påstande

Den 19. januar 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbagebetale 7.625 DKK (8.000 DKK fratrukket en selvrisiko på 375 DKK).

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har blandt andet anført, at hun er blevet hacket. Hun modtog flere e-mails, der så ud til at være fra S, om, at hun skulle betale en faktura snarest, idet hendes hjemmeside i modsat fald ville blive lukket. Tidspunktet passede med det sædvanlige betalingstidspunkt, og e-mailen var professionelt udformet. Hun besluttede sig for at betale fakturaen.

Da hun trykkede på fodnoten, kom Nets’ logo frem. Derefter fik en anden kontrol over hendes computer. Pludselig skiftede skærmbilledet til en anden hjemmeside, og skærmen blinkede og bamlede. Hun trykkede i panik på annullerknappen to til tre gange, da Nets logoet viste sig igen. Hun lukkede vinduet, sine mails og sin computer. Hun var klar over, at der var noget galt og kontaktede straks S, som svarede, at der var tale om en phishing mail.

Hun mødte personligt op i banken den 14. december 2023. Banken oplyste, at der fra Saudi Arabien var reserveret 9.960,43 DKK, og at hun ikke kunne klage, før beløbet var trukket. Hun spurgte, om banken omgående kunne kontakte modtagers korrespondentbank og få stoppet beløbet, men banken gled af på hendes spørgsmål. Banken gjorde intet aktivt for at stoppe overførslen, som ikke var trukket endnu.

Hun har været kunde i banken i 15-16 år og har haft en klar aftale med banken om, at hun ikke kunne overtrække med kortet, da det ikke er et kreditkort. Hvordan kan banken så godkende, at kriminelle fik lov til at trække store beløb fra hendes konto, der gik i minus med 9.960,43 DKK?

Hun har aldrig har set et beløb på 1.329 EUR. Hun har aldrig godkendt et bestemt beløb. Hun betaler hvert år 50 DKK til S, så hvordan tror banken, at hun kan finde på at godkende 1.329 EUR? Hun har ikke udvist ”groft uansvarlig adfærd”, jf. betalingslovens § 100, stk. 4. De af banken fremlagte kvitteringer siger intet om, hvem der har godkendt transaktionen. De kriminelle har ved hacking fået adgang til hendes kortoplysninger. Der er nogle uløste sikkerhedsbrister i 3D-secure systemet, som gør det muligt for hackere at misbruge systemet, når de først er inde i kortholders computer. Politiet sagde også, at hun er blevet hacket. Nets oplyste hende om, at denne type tyveri, hvor de kriminelle tvinger sig adgang til ens computer, bliver mere og mere hyppigt.½

Nordea Danmark har blandt andet anført, at betalingen er korrekt registreret, bogført og i øvrigt ikke fejlbehæftet.

Forholdet er omfattet af betalingslovens § 100, stk. 4, og bankens kortregler for Visa/dankort.

Klager har i forbindelse med gennemførelsen af transaktionen på 9.960,43 DKK indtastet sit selvvalgte MitID brugernavn og blev derefter præsenteret for en tekst i sin MitID-app med oplysning om beløb og beløbsmodtager, hvorfor der ikke kan være tvivl om, at klageren godkendte transaktionen.

Nets har bekræftet over for banken, at transaktionen gik igennem uden fejl.

Banken har en formodning om, at klageren valgte at godkende beløbet, som hun efterfølgende ikke vil vedkende sig, hvorfor selve godkendelsen af betalingen i MitID-appen er groft uforsvarlig adfærd fra klagerens side.

Ankenævnets bemærkninger

Den 13. december 2023 blev der med klagerens Visa/dankort foretaget en kortbetaling på 1.329 EUR svarende til 9.960,43 DKK til en udenlandsk betalingsmodtager, M. Klageren kan ikke vedkende sig betalingen.

Klageren har anført, at hun ikke har godkendt betalingen eller et andet beløb, og at hun er blevet hacket. Hun modtog en e-mail, der så ud til at være fra hendes internetudbyder, med anmodning om at betale en faktura. Hun trykkede på fodnoten med fakturaen, hvorefter en anden fik kontrol over hendes computer.

Nordea Danmark har dækket klagerens tab med fradrag af 8.000 DKK.

Banken har oplyst, at betalingen blev godkendt i klagerens MitID-app.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bog-ført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter be-stemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet lægger til grund, at transaktionen skyldtes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter den var godkendt, uanset tidspunktet for den efterfølgende spærring af kortet og debitering af beløbet på klagerens konto.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeauten-tifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.