Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for op til 8.000 kr. af korttransaktion. Aktivering/indrullering af MitID-app på svindlers telefon.

Sagsnummer: 614/2023
Dato: 18-04-2024
Ankenævn: Helle Korsgaard Lund-Andersen, Janni Visted Hansen, Andreas Moll Årsnes, Rolf Høymann Olsen og Kim Korup Eriksen.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for op til 8.000 kr. af korttransaktion. Aktivering/indrullering af MitID-app på svindlers telefon.
Indklagede: Nordea Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion. Aktivering/indrullering af MitID-app på svindlers enhed.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun blandt andet havde en konto med et tilknyttet Visa/dankort.

Den 6. september 2023 kl. 23:33 blev der foretaget en korttransaktion med klagerens betalingskort på 4.589,51 PLN (polske zloty) til en betalingsmodtager, F, som klageren ikke kan vedkende sig. Af en transaktionsliste fra Nets fremgår, at korttransaktionen blev godkendt med 3D Secure.

Den 12. september 2023 blev der trukket 7.769,82 DKK på klagerens konto, og hun gjorde indsigelse mod transaktionen over for banken.

Klageren oplyste følgende i indsigelsesblanketten om hændelsesforløbet:

”Min søn har sat sine airpods på Marketplace. Han bliver kontaktet på facebook af en kvinde, som vil udføre handlen gennem 'Dao', hvor så hun beder ham at sende hans mobil nummer og e-mail. Det gør han så. Min søn får derefter et link på sms fra 'Dao', hvor der åbner en skabelon, hvor han skal udfylde for at [få] sine penge. Han skal udfylde sit kort nummer og godkende via mitid.

Transaktionen vil ikke acceptere hans kort. Min søn beder derfor om at bruge mit kort til at gøre handlen færdig. Han videresender mig derfor det link og jeg udfylder skabelonen, med kort oplysninger og godkender med mit mitid. Skabelonen/siden virkede meget troværdigt, som det var sendt fra Dao.

Der gik en time (der var nedtælling til 60 min.) før handlen gennemføres (mitid bliver accepteret) og jeg får besked, om jeg vil modtage pengene fra snart. Næste dag får jeg en sms om at mit mitid er spærret og straks efter ringer banken og oplyser mig, at mit kort og mitid er udsat for svindel”

I et brev af 12. september 2023 til klageren anførte banken blandt andet:

Svar på din indsigelse

Vi skriver til dig, fordi vi nu har behandlet din indsigelse mod 7.769,82 kr.

Vi har undersøgt betalingen, som du gør indsigelse mod, og vi kan se, at den er godkendt ved brug af MitID app. Det vil sige, at der i forbindelse med købet er indtastet dine kortoplysninger, hvorefter købet er bekræftet via MitID app. Vi har en formodning om, MitID app'en var installeret på en enhed, som ikke er din egen.

Du har tilsyneladende været udsat for svindel

I din forklaring oplyser du, at du har modtaget en falsk henvendelse omkring en vare, din søn havde til salg på internettet.

Når en svindler henvender sig enten via falske e-mails, sms’er eller opkald, virker det ofte troværdigt, og det kan være meget svært at gennemskue svindlen eller genkalde sig, hvad der er sket.

Du har en selvrisiko, når dine personlige sikkerhedsløsninger er anvendt

Vi kan se, at du med din egen MitID app den 6. september 2023 har godkendt installationen af en ny MitID app på en fremmed enhed, hvorfra betalingen er godkendt. Det gjorde du ved at godkende to logins på MitID.dk samt ved at udlevere en midlertidig PIN-kode, som blev sendt til dig på sms.

Det er desværre sådan, at når du selv godkender en installation af en ny MitID app, så har du en selvrisiko, som udgør 8.000 kr.

I dit tilfælde er selvrisikoen større end det beløb, du gør indsigelse imod, og vi beklager at måtte meddele dig, at vi derfor ikke kan imødekomme din indsigelse.

…”

Den 6. oktober 2023 indbragte klageren sagen for Ankenævnet.

I klagen til Ankenævnet oplyste klageren følgende om sagsforløbet:

”…

Min søn på 15 år har sat sine Airpods på Marketplace på Facebook til salg. Han bliver kontaktet på Facebook Messenger af en kvinde, som vil udføre handlen gennem 'Dao', hvor så hun beder ham sende hans mobil nummer og e-mail. Det gør han så via deres korrespondance tråd. Se vedlagte billeder.

Min søn får derefter et link på sms fra 'Dao'. Min søn åbner linket og der er åbner derefter en skabelon, hvor han skal udfylde for at [få] sine penge. Han skal udfylde kort nummer og godkende via mitid.

Transaktionen vil ikke acceptere hans kort. Det var som om handlen ikke vil afslutte med hans kort. Min søn beder derfor om at bruge mit kort til at gøre handlen færdig. Jeg overtager handlen derfra. Han videresender mig derfor det link han selv har fået fra kvinden, og jeg udfylder skabelonen med kort oplysninger og godkender med mit mitid. Skabelonen/siden virkede meget troværdigt, som det var sendt fra Dao.

Jeg udfylder mine kort oplysninger og godkender med mitid. Der er på intet tidspunkt vist tegn på utroværdighed eller lignende. Jeg modtager en kode på sms, som jeg skal taste for at handlen afsluttet. [Ingen] tegn på, at det er svindel. Handlen går igennem, og jeg får besked på at jeg vil modtage pengene snarest.

Næste dag får jeg en sms om at mit mitid er spærret og straks efter ringer banken og oplyser mig, at mit kort og mitid er udsat for svindel.

Dagen efter kunne jeg se på min wallet-app, at der var reserveret det beløb til et eller andet hotelophold. Jeg ringer straks til bankens sikkerhedsafdeling, og får at vide at der er reserveret et beløb, men at transaktionen ikke vil komme igennem, og at jeg skulle være rolig. Men den kom desværre igennem og der blev trukket 7.769,82 kr. fra min konto.

…”

Klageren har fremlagt udskrifter af den korrespondance som hendes søn havde med den person, som oplyste, at hun ville købe hans Airpods gennem DAO. Af korrespondancen fremgik blandt andet:

”Du har allerede modtaget en besked, du kan acceptere betaling med mitID [emoji] …

Det fungerer meget enkelt, du skal indtaste dataene, så der dit Bruger ID og din bekræftelse i mitID påkrævet. Så skal du scanne qrkoden [emoji] For at gøre dette skal du bruge en anden enhed til at åbne webstedet på den. Og scan qrkoden fra din telefon.

Du skal bruge to enheder [emoji]. Åbn linket for at modtage penge på en anden enhed for at scanne koden.

Jeg modtog en besked [emoji] Du er på rette vej. Du skal vente en time, efter en time kan du få betalingen [emoji]

Om en time vil du modtage en ny notifikation, du skal gentage det samme, og du vil være i stand til at modtage penge [emoji]

Hej, timen er allerede gået, nu kan du gentage godkendelsen. Til sidst vil du modtage en engangskode, som du skal angive på siden [emoji]”

Banken har oplyst, at der den 6. september 2023 blev aktiveret/indrulleret en ny Mit- ID-app på en anden mobilenhed, som blev godkendt med klagerens MitID-app.

Banken har fremlagt en oversigt over betalings- og godkendelsesdata, der blandt andet er hentet fra bankens systemer og klagerens MitID-log. Heraf fremgår, at klagerens MitID havde et aktivt identifikationsmiddel med nummer -9795, samt at hendes egen enhed var en iPhone 8. Ligeledes fremgår det, at der den 6. september 2023 med samme identifikationsmiddel blev foretaget flere handlinger:

  1. swipe for teksten

Log på hos MitID.dk for at se eller ændre i din MitID profil

 

06-09-2023 21:49

Oplysninger – MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil

Kritisk

Besked i MitID-app til klageren samt SMS til klagerens telefonnummer

Du har bedt om adgang til at ændre oplysninger på MitID.dk og kan logge på om 1 time. Har du ikke bedt om adgang? Ring til MitID support på +45 33980010

 
  1. swipe for teksten

Log på hos MitID.dk for at se eller ændre i din MitID profil

 

06-09-2023 22:50

Oplysninger – MitID bruger tildelt adgang til at ændre oplysninger i MitID profil

Kritisk

Besked i MitID-app til klageren samt SMS

Du har nu adgang til at logge på MitID.dk og ændre oplysninger i 24 timer. Har du ikke bedt om adgang? Ring til MitID support på +45 33980010

 

06-09-2023 23:11

Midlertidig PIN kode – til MitID app sendt på SMS

Information

Midlertidig PIN kode sendt til klagerens telefonnummer

Midlertidig PIN kode til MitID app xx xx xx xx (Nummer) VIGTIGT: Del aldrig denne kode med andre. Heller ikke med en som påstår at komme fra banken eller support.

 

Det fremgår af oversigten over betalings- og godkendelsesdata, at der efter indtastning af den midlertidige PIN kode den 6. september 2023 kl. 23:12 blev aktiveret en ny MitID-app med serienummer –8756 på en fremmed enhed, iPhone 14,2 (iPhone 13 Pro).

Svindleren kunne herefter foretage den omtvistede korttransaktion og godkende med den nye MitID-app med serienummer -8756. 

Parternes påstande

Den 6. oktober 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal betale 7.769,82 DKK.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun har været udsat for svindel og ikke har handlet groft uforsvarligt.

Banken har afvist hendes indsigelse og begrundet det med, at hun har handlet groft uforsvarligt, fordi hun har godkendt gennem MitID, og at hun derfor selv hæfter for de første 8.000 DKK.

Ifølge reglerne i betalingsloven er der tre situationer, hvor man hæfter med op til 8.000 DKK.

1) At man selv har overladt kortet til den, der har foretaget den uberettigede brug.

Hun har på ingen måde overladt sit kort eller oplysninger til en anden. Hun fulgte blot anvisningen i linket, som virkede meget troværdigt, jf. de fremlagte udskrifter/billeder.

2) Man har udvist groft uforsvarlig adfærd, som har muliggjort den uberettigede brug af kortet.

Som retspraksis viser, skal der meget til, før adfærd kan kaldes groft uforsvarlig. Hun har hverken udvist ligegyldighed eller sjusk. Det var på ingen måder muligt at identificere, at det var svindel. Da hun godkendte med MitID, var der ingen tekst eller andet, der gjorde, at hun burde få mistanke om svindel. Hun har ikke overladt handlen til sin søn på 15 år eller med forsæt forsøgt at udlevere sine oplysninger med bevidsthed om, at det var svindel.

3) At man har undladt at underrette banken snarest muligt.

Hun har kontaktet banken med det samme og har været i kontakt med banken hver eneste dag i tre-fire dage efter episoden, indtil hun fik afslag på sin indsigelse.

Banken har således alene henvist til, at hun har godkendt med MitID, men den har ikke bevist, at hun har handlet groft uforsvarligt.

I SMS'en, som banken refererer til, præciseres det, at koden ikke må deles, hvilket hun ikke har gjort. Hun indtastede koden på en hjemmeside, som hun troede var troværdig for at fuldføre transaktionen. Ydermere blev hun først opmærksom på situationen, da banken kontaktede hende dagen efter episoden og informerede hende om, at hendes kort var blevet spærret på grund af usædvanlige transaktioner.

Hjemmesiden fremstod som meget troværdig, og hun opdagede ikke, at det var svindel. Dette er noget, der kan overgå enhver, og derfor mener hun ikke, at det kan betragtes som groft uagtsomt i et juridisk perspektiv.

Nordea Danmark har anført, at den omhandlede betalingstransaktion blev korrekt registreret og bogført og ikke var ramt af tekniske svigt eller andre fejl.

Det må lægges til grund, at klageren godkendte indrulleringen af hendes MitID på tredjemands enhed.

Det må ligeledes lægges til grund, at klageren blev præsenteret for følgende tekst, idet dette er systemunderstøttet: ”Midlertidig PIN-kode til MitID app: XXXXX. VIGTIGT: Del aldring denne kode med andre. Heller ikke med en som påstår at komme fra banken eller support.”

Forud for indrullering havde klageren trykket på et link i en SMS, hvor hun videregav oplysninger om sit MitID, hvilket satte tredjemand i stand til at anlægge handlinger, som klageren efterfølgende skulle godkende via MitID. Hun blev i godkendelsesbeskederne i MitID-appen tydeligt gjort opmærksom på, at det angik hendes MitID. Trods disse tydelige angivelser om, hvad klageren var ved at godkende, valgte klageren at godkende og udlevere pinkoden til MitID appen.

Med godkendelsen fulgte, at MitID nu var brugbart på tredjemands enhed, og derfor ville kunne bruges af tredjemand, som hvis klageren havde indrulleret MitID appen på sin egen enhed.

Alene det, at klageren valgte at godkende de meddelelser, som hun blev præsenteret for i MitID-appen og blev informeret om pr. SMS, er at betragte som groft uforsvarlig adfærd. Herudover kommer også, at klageren trykkede på et fremmed link og afgav oplysninger om sit MitID, hvorfor banken var berettiget til at tage 8.000 DKK i selvrisiko, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnets bemærkninger

Klageren var kunde i Nordea Danmark, hvor hun blandt andet havde en konto med et tilknyttet Visa/dankort.

Den 6. september 2023 kl. 23:33 blev der foretaget en korttransaktion med klagerens betalingskort på 4.589,51 PLN (polske zloty) svarende til 7.769,82 DKK til en betalingsmodtager, F, som klageren ikke kan vedkende sig.

Klageren har oplyst, at hendes søn havde en vare til salg på Marketplace på Facebook, og at hun har været udsat for svindel i forbindelse med en DAO forsendelse. Hun overtog handlen, fik videresendt en SMS med et link fra ”DAO” fra sin søn og udfyldte skabelonen med kortoplysninger og godkendte med sit MitID.

Banken har anført, at klageren med sin MitID-app den 6. september 2023 godkendte installation af en ny MitID-app på en fremmed enhed, hvorfra betalingen blev godkendt. Det forhold at klageren med sit MitID to gange godkendte log-in på MitID.dk og udleverede en midlertidig PIN-kode, som blev sendt til hende pr. SMS, er at betragte som groft uforsvarlig adfærd, hvorfor banken var berettiget til at tage op til 8.000 DKK i selvrisiko, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket heller ikke er bestridt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Helle Korsgaard Lund-Andersen, Janni Visted Hansen og Andreas Moll Årsnes – udtaler:

Vi lægger til grund, at klageren uforvarende har videregivet sine betalingskort- og MitID-oplysninger til tredjemand. Vi finder herefter, at det må lægges til grund, at klageren den 6. september 2023 har godkendt aktiveringen af en ny MitID-app på tredjemands enhed i sin MitID-app, hvorved en svindler har kunnet foretage den omtvistede betaling.

Vi finder, at banken har godtgjort, at klageren derved ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. Klageren skal som følge heraf hæfte med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Rolf Høymann Olsen og Kim Korup Eriksen – udtaler:

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel.

Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have handlet som sket.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, der muliggør misbruget.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.394,82 DKK til klageren.

Der træffes afgørelse efter stemmeflertallet.

 

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.