Indsigelse mod at hæfte for 8.000 kr. af korttransaktioner. Aktivering/indrullering af MitID-app på svindlers telefon.

Sagsnummer:606/2023
Dato:31-05-2024
Ankenævn:Bo Østergaard, Morten Winther Christensen, Klaus Tougaard Kristensen, Morten Bruun Pedersen og Kim Korup Eriksen.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod at hæfte for 8.000 kr. af korttransaktioner. Aktivering/indrullering af MitID-app på svindlers telefon.
Indklagede:Vestjysk Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktioner. Aktivering/indrullering af MitID-app på svindlers telefon.

Sagens omstændigheder

Klageren var kunde i Vestjysk Bank, hvor hun havde en konto med et tilknyttet betalingskort.

Den 9. september 2023 blev der foretaget to korttransaktioner på henholdsvis 700 EUR og 830 EUR med klagerens betalingskort til en betalingsmodtager, F, som klageren ikke kan vedkende sig.

Den 12. september 2023 blev der trukket i alt 11.532,26 DKK på klagerens konto vedrørende transaktionerne, og hun gjorde indsigelse mod transaktionerne over for banken. I indsigelsesblanketten anførte klageren følgende om hændelsesforløbet:

”Jeg har haft en vare til [salg] på DBA. Den 9/9 blev kontaktet af en person, der spurgte om han kunne benytte Post Nords kurerservice, da han ikke selv havde bil. Jeg var inde på Post Nords hjemmeside og læse om servicen, som virkede validt. Han sendte mig et link, hvor jeg skulle oplyse min kort-oplysninger og verificere med MitID. Da  MitID var inde over, tænkte jeg at det var helt sikkert.

Det viser sig så at han har fået adgang til min MitID og har også fået mine kort-oplysninger. Det opdagede jeg ved at jeg fik en sms om, at telefonnummeret på min MitID var blevet ændret. Jeg ringede så med det samme og fik spærret mit MitID og mit kort.

I dag den 12/9 kan jeg så se, på min konto at der er foretaget to udenlandske betalinger med mit kort den 9/9, som jeg ikke kender til.”

Den 18. september 2023 godtgjorde banken klagerens tab fratrukket 8.000 DKK og indsatte 3.532,26 DKK på klagerens konto.

Den 2. oktober 2023 indbragte klageren sagen for Ankenævnet.

I klagen til Ankenævnet oplyste klageren følgende om sagsforløbet:

”Ifm. salg af vare på DBA blev jeg spurgt af en køber, om vi kunne bruge Post Nords kurerservice til at hente varen. Jeg var inde og læse om servicen, som [er] helt reelt er noget Post Nord tilbyder.

Jeg fik sendt et link af sælger, som ledte mig til (troede jeg) Post Nords hjemmeside. Her stod der beskrevet, at jeg skulle oplyse mine kort-oplysninger for at betalingen for varen kunne blive overført til min konto. Der stod også købers navn og adresse. Jeg tjekkede på Krak og navn, adresse og telefonnummer passede. Jeg tænkte derfor ikke over, at der kunne være noget svindel involveret. Jeg skulle verificere mine oplysninger med MitID. Da der var tale om at bruge MitID, tænkte jeg at det var helt sikkert. Ca. 5 min efter, får jeg besked om at mit mobilnummer er ændret på MitID. Jeg ringer derfor til MitID og får spærret mit MitID og MitID kender godt til denne svindel-type og siger den er almindelig hos DBA (det er ret bekymrende at MitID åbenbart er så nemt at svindle og at MitID kender alt til det).

Hos MitID kan de se at mit nummer er blevet ændret og fortæller at det der sker er, at svindleren installere en app på deres telefon, som når jeg så logger ind på min MitID via deres link installere mit MitID på den app.

Efter at have snakket med MitID ringer jeg til min bank og spærrer mit kort.

Et par dage efter kan jeg så se at der er foretaget 2 udenlandske hævinger på min konto. Svindleren har kunnet hæve penge da de har haft både mine kort-oplysninger og MitID. Jeg gør derfor indsigelse hos NETS.

De afviser min indsigelse og jeg får besked fra min bank at jeg hæfter for en selvrisiko på 8.000 kr.

…”

Det fremgår af klagerens MItID-log, at der før den 9. september 2023 var registreret et MitID-identifikationsmiddel med nummer -8762 tilknyttet klagerens MitID, og at der den 9. september 2023 blev tilknyttet et MitID-identifikationsmiddel med nummer -7208 til klagerens MitID på en anden enhed.

Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf blandt andet fremgår:

09-09-2023 11:30

App. permanent spærret

Kritisk

09-09-2023 11:29 …

MitID identifikationsmiddel-ID …

App – ny MitID app aktiveret …

[-7298] …

Kritisk

09-09-2023 11:29

Midlertidig PIN-kode - til MitID app valideret

Information

09-09-2023 11:29

Midlertidig PIN-kode – til MitID app sendt på SMS

Information

09-09-2023 11:29

Oplysninger – mobilnummer tilknyttet MitID bruger

Information

09-09-2023 11:29

Oplysninger ændret for MitID bruger

Kritisk

09-09-2023 11:29

Oplysninger – valideringskode sendt på SMS

Kritisk

09-09-2023 11:25

Midlertidig PIN-kode – til MitID app sendt på SMS

Information

09-09-2023 11:25

Aktiveringskode – til MitID app valideret

Kritisk

09-09-2023 11:15

Aktiveringskode – til ny MitID app oprettet

Kritisk

09-09-2023 10:56

Oplysninger – MitID bruger tildelt adgang til at ændre oplysninger i MitID profil

Kritisk

09-09-2023 10:37

Godkendelse – logget på med MitID

Information

09-09-2023 10:37

App – autentificering lykkedes

Information

09-09-2023 10:36

App – autentificering lykkedes

Information

09-09-2023 10:36

Godkendelse – indtastet bruger-ID

Information

09-09-2023 09:55

Oplysninger – MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil

Kritisk

09-09-2023 09:50

Godkendelse – logget på med MitID

Information

09-09-2023 09:50

App – autentificering lykkedes

Information

09-09-2023 09:49

Godkendelse – indtastet bruger-ID

Information

Banken har supplerende oplyst, at forløbet i forbindelse med ændringerne i MitID har været som følger:

Klageren videregav sine kortoplysninger og sine MitID-oplysninger og gav svindleren adgang til at logge ind ved at swipe til denne tekst:

”Log på MitID.dk for at se eller ændre din MitID profil”

Svindleren loggede ind på MitID og anmodede om ændring i klagerens MitID-profil. Når man har anmodet om en ændring af telefonnummeret, får man en besked på skærmen på det gamle telefonnummer om, at man skal logge ud og vente en time, inden man kan logge ind igen for at ændre telefonnummeret (eller generelt ændre noget i MitID-profil). Der blev samtidig sendt denne SMS til klagerens eget telefonnummer (det nummer, der var på profilen, inden svindleren gik i gang):

”Du har bedt om adgang til at ændre oplysninger på MitID.dk og kan logge på om 1 time.

Har du ikke bedt om adgang? Ring til MitID support +45 33980010”

Efter en time, gav klageren svindleren adgang til at logge ind igen ved at swipe til denne tekst:

”Log på MitID.dk for at se eller ændre din MitID profil”

Herefter fik klageren denne SMS:

”Du har nu adgang til at logge på MitID.dk og ændre oplysninger i 24 timer.

Har du ikke bedt om adgang? Ring til MitID support +45 33980010”

Og først herefter kunne man ændre det telefonnummer, der var tilknyttet klagerens MitID-profil. I denne sag blev der herefter sendt en aktiveringskode kl.11:15 til svindlerens telefonnummer, som blev brugt til at aktivere den nye MitID-app. Samtidig med ændring af telefonnummeret, havde man ændret indstillingerne til at bruge aktiveringskoder i stedet for QR-koder, som er standard.

Den nye MitID-app med nummer -7298 blev aktiveret på svindlerens telefon den 9. september 2023 kl. 11:29. Klagerens MitID-app med nummer -8762 blev spærret permanent kl. 11:30.

De 700 EUR blev godkendt den 9. september 2023 kl. 11.35, og de 850 EUR godkendes kl. 11.36. Godkendelsen blev foretaget af svindleren med klagerens MitID-app med nummer -7298, der var blevet aktiveret på svindlerens enhed.

Klagerens MitID-app med nummer -7298, der var blevet aktiveret på svindlerens enhed, blev først spærret den 11. september 2023.

Parternes påstande

Den 2. oktober 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Vestjysk Bank skal betale 8.000 DKK.

Vestjysk Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun ikke har handlet groft uansvarligt.

Hun har taget mange forholdsregler (tjekket hos Post Nord at servicen eksisterede, tjekket at sælger var en rigtig person, havde tiltro til at MitID var sikkert – som det tydeligvis ikke er), og hun har derved ikke handlet groft uansvarligt. Hun har ikke selv overført penge eller oplyst sine koder til kort/MitID. Og hun har spærret sit MitID og sit kort, så snart hun blev mistænksom på svindel. Det, der særligt har gjort svindlen muligt, er, at svindleren har kunnet installere hendes MitID på sin telefon. Det skyldes en alvorlig sikkerhedsbrist hos MitID (som de kender til), og ikke, at hun har opført sig groft uansvarligt.

Retrospektivt kan hun godt se, at hun ikke skulle have oplyst sine kortoplysninger. Det havde givet mere mening, at sælger skulle bruge hendes kontooplysninger. Dog havde det potentielt været endnu mere alvorligt, da svindleren så både ville have haft hendes kontooplysninger og MitID og dermed kunne have trukket mange penge fra hendes konto.

Det er korrekt at hun fik besked om, at hun havde bedt om ændringer til MitID, og hun fik en besked om dette på sin telefon den 9. september 2023 kl. 09:55.

Men hun havde også selv bedt om ændringer, da hun var ved at installere sit MitID på sin tablet (meget uheldigt og dårlig timing at det skete samtidig med, at hun blev svindlet). Men det var ved brugen af MitID på sin telefon, at hun kom i tanke om, at hun længe havde tænkt, at hun ville have MitID på sin tablet. Derfor gik hun ind på MitID.dk og bad om at få tilføjet en ekstra enhed og fik besked om, at der skulle gå en time, inden ændringer kunne foretages. Hun tænkte derfor ikke over, at der var noget mistænkeligt ved, at hun fik en SMS om netop dette. Så det var bare et meget uheldigt sammentræf. Hun har ikke før nu tænkt over, at det kunne have en sammenhæng med svindlen, da hun jo reelt havde bedt om ændringer.

Hun har desværre ingen beviser for dette, men det er forklaringen på, hvorfor hun ikke reagerede på den første SMS om ændringer.

I forhold til at hendes MitID-app på svindlerens enhed først blev spærret to dage efter, ved hun ikke, hvad hun skulle have gjort ved det. Hun spærrede sit MitID og sit kort, så snart hun blev mistænksom på svindel. Hvad skulle hun have gjort anderledes for at spærre svindlerens installation af hendes MitID.

Vestjysk Bank har anført, at klageren ikke har kunnet være i tvivl om, at nogen forsøgte at ændre i hendes MitID, og at hun derfor har haft rig lejlighed til at reagere herpå. Klageren har selv udleveret sine kortoplysninger og MitID-oplysninger og har godkendt, at der skete ændringer i hendes MitID den 9. september 2023 kl. 09:50 og 09:55. Den nye MitID-app blev aktiveret kl. 11:29 ved hjælp af valideringskoder, som blev sendt til det nummer, man ændrede til i MitID, men klageren har selv tildelt adgang til at ændre i sine MitID-oplysninger.

Hvis det er korrekt, at klageren (meget belejligt) har været i gang med at installere MitID på sin iPad, ville dette fremgå af de udskrifter der er fremlagt i sagen. Ligeledes ville klageren have modtaget de samme beskeder på sin telefon, som er beskrevet ovenfor. Disse ville altså have være modtaget to gange, altså både i forbindelse med svindlerens aktivitet og aktiviteten på hendes iPad. Det angivne, hvis det skulle være rigtigt, i forhold til iPad aktiviteten har således ikke indflydelse på det forhold, at klageren selv har godkendt oprettelsen af en MitID-app på svindlerens enhed.

Ankenævnets bemærkninger

Klageren var kunde i Vestjysk Bank, hvor hun havde en konto med et tilknyttet betalingskort.

Den 9. september 2023 blev der foretaget to korttransaktioner på henholdsvis 700 EUR og 830 EUR svarende til i alt 11.532,26 DKK med klagerens betalingskort til en betalingsmodtager, F, som klageren ikke kan vedkende sig.

Banken godtgjorde klagerens tab fratrukket en selvrisiko på 8.000 DKK.

Klageren har anført, at hun fik et link, som ledte hende til en hjemmeside, som hun troede var Post Nords. Her oplyste hun sine kortoplysninger og brugte sit MitID, for at hun kunne få betaling for den vare, som hun havde til salg på DBA.

Banken har anført, at klageren selv har udleveret sine kortoplysninger og MitID-oplysninger, og at klageren selv har tildelt adgang til at ændre i sin MitID-profil. Klageren har ikke kunnet være i tvivl om, at nogen forsøgte at ændre i hendes MitID, og klageren har derfor haft rig lejlighed til at reagere herpå.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet finder, at en afklaring af sagens nærmere omstændigheder omkring aktiveringen af klagerens MitID på tredjemands enhed, herunder om klageren ved groft uforsvarlig adfærd muliggjorde transaktionerne og dermed hæfter med 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3, forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4 i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.