Sagsnummer: | 23/2024 |
Dato: | 25-09-2024 |
Ankenævn: | Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen, Klaus Tougaard Kristensen, Rolf Høymann Olsen og Poul Erik Jensen. |
Klageemne: | Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger Afvisning - bevis § 5, stk. 3, nr. 4 |
Ledetekst: | Indsigelse mod at hæfte for 8.000 kr. af korttransaktioner. Aktivering/indrullering af MitID-app på svindlers enhed. |
Indklagede: | Middelfart Sparekasse |
Øvrige oplysninger: | |
Senere dom: | |
Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktioner. Aktivering/indrullering af MitID-app på svindlers enhed.
Sagens omstændigheder
Klageren var kunde i Middelfart Sparekasse, hvor han havde en konto med et tilknyttet betalingskort.
Lørdag den 18. november 2023 blev der foretaget fire korttransaktioner med klagerens betalingskort, som han ikke kan vedkende sig. Der var tale om følgende transaktioner: En transaktion på 9.000 kr. kl. 19:36:53 til en udenlandsk betalingsmodtager, R, og tre transaktioner på henholdsvis 4.400 kr. kl. 19:41:28, 8.000 kr. kl. 19:42:19 og 4.750 kr. kl. 19:43:31 til en udenlandsk betalingsmodtager, Z.
Den 20. november 2023 blev de fire korttransaktioner på i alt 26.150 kr. trukket på klagerens konto i sparekassen. Klageren gjorde den 21. november 2023 indsigelse mod de fire korttransaktioner over for sparekassen. Han anførte følgende om hændelsesforløbet i indsigelsen:
”Fredag den 17/11 modtager jeg et nyt betalingskort, som jeg uden held forsøger at aktivere. Jeg kan heller ikke komme ind på den konto mit gamle kort er tilknyttet. Jeg modtager en sms fra NETS om at der er foretaget sikkerhedsopdateringer, hvorefter jeg klikker på det medsendte link, men udskød at fortsætte. Lørdag bliver jeg ringet op fra Middelfart Sparekasses nummer 64222222 fem gange i perioden 13.14-19.00. Den sidste gang tager jeg nummeret, hvor en venlig, ældre dansktalende mand, der præsenterede sig som medarbejder i Middelfart Sparekasse og meddelte, at 'han kunne se, at der var trukket penge fra min konto i EURO til overførsel til Sverige'. Hvis ikke det var mig, ville han hjælpe med at få pengene tilbage. Manden oplyste nummeret på det kort, pengene var trukket fra (det gamle kort). Han bad mig derefter om at gå ind på MitID og ændre adgangen til ”Andre enheder har adgang”. Jeg havde svært ved at forstå, hvad der skulle gøres, men manden var meget hjælpsom og tålmodig i den halve time det tog. Jeg oplyste engangskoden [xxxxx], hvorefter manden sagde, at han ville få sin kollega til at tilbageføre pengene, mens jeg ventede. Da jeg havde ventet et stykke tid blev jeg mistænksom og lagde på og ringede til mine forældre, der hjalp mig med at spærre både det gamle og det nye kort samt MitID. Søndag skrev jeg en mail til banken, hvor jeg bed dem stoppe alle pengeoverførsler på min konto fra lørdag morgen den 18/11. Mandag fik jeg oplyst fra banken, at der var trukket ca. kr. 25.000 til nogle udenlandske konti, og at jeg skulle politianmelde og gøre indsigelse mod overførslerne.”
Sparekassen godtgjorde klagerens tab fratrukket 8.000 kr. og indsatte 18.150 kr. på klagerens konto.
Herefter klagede klageren til sparekassen over afgørelsen. Sparekassen fastholdt sin afgørelse.
Den 14. januar 2024 indbragte klageren sagen for Ankenævnet. I forbindelse med klagen kom klageren med følgende uddybende sagsfremstilling:
”Siden jeg var 14 år har jeg været kunde i Fanø Sparekasse. I februar 2023 sammenlægges Fanø Sparekasse med Middelfart Sparekasse.
Fredag den 17/11 2023 modtog jeg et nyt betalingskort som følge af denne sammenlægning. Jeg forsøgte uden held at aktivere kortet på det oplyste telefonnr. 44 89 73 50. Når jeg indtastede de 16 ønskede cifre fra kortets forside bad den blot igen om at indtaste det.
Jeg forsøgte herefter at logge ind på netbank, for at komme ind på den konto mit gamle kort er tilknyttet. Når jeg logger ind med MitID sker der intet. Det ser ud til, at siden blot står og loader uden resultat.
Kort efter modtog jeg en sms fra NETS om, at der var foretaget sikkerhedsopdateringer, og at jeg skal klikke på det medsendte link. Jeg tænkte, at det nok var derfor, jeg ikke kunne aktivere kortet. Jeg klikkede derfor på linket, men resultatet var uoverskueligt, hvorfor jeg ikke foretog mig yderligere, men lukkede ned.
Lørdag den 18/11 blev jeg ringet op fra et nummer fem gange i perioden 13.14-19.00. Jeg vægrede mig mod at tage telefonen, da jeg er døv med [høreapparat], hvilket bl.a. betyder, at jeg har udfordringer med at høre og gøre mig forståelig i telefonsamtaler. Efter fjerde opringning tjekkede jeg imidlertid nummeret (nummerviseren viste 6422 2222) på internettet og kunne se, at det var Middelfart Sparekasse, der ringede.
Da jeg i løbet af lørdagen fortsat ikke kunne tilgå min konto på netbank og heller ikke kunne aktivere mit kort og var bekymret for, hvordan jeg skulle kunne betale ved indkøb, tog jeg telefonen femte gang, da jeg tænkte, at det nok var sparekassens support, der måske kunne hjælpe mig.
Da jeg besvarede nummeret, præsenterede en venlig, ældre dansktalende mand sig som medarbejder i Middelfart Sparekasse og meddelte, at 'han kunne se, at der var trukket penge fra min konto i EURO til overførsel til Sverige'. Hvis ikke det var mig, ville han hjælpe med at få pengene tilbage.
Jeg oplyste manden om, at jeg hverken kunne komme ind på netbank eller aktivere mit kort. Manden sagde, at det kunne han hjælpe med og bad om mit MitId brugernavn. Derefter bad han mig gå ind på appen og aktivere adgang fra en anden enhed, hvor ham hjalp mig med at få aktiveret en engangskode, som jeg oplyste til manden. Undervejs bad systemet mig verificere mig med mit pas. Jeg udleverede ikke pas-oplysninger til manden.
Manden sagde herefter, at han ville få sin kollega til at hjælpe, mens jeg ventede. Da jeg havde ventet et stykke tid (måske fem minutter) blev jeg mistænksom, lagde på og ringede til mine forældre, der hjalp mig med at spærre både det gamle og det nye kort samt MitID.
Søndag den 19. november skrev jeg til Fanø Sparekasses direktør, min bankrådgiver og sparekassens generelle mailadresse i et forsøg på få sparekassen til at stoppe transaktionerne, da kontotransaktionerne først ville blive registreret på min konto mandag morgen. Endelig fulgte min far op ved at ringe til sparekassen mandag morgen den 20. november kl. 10.00. Sparekassen oplyste, at den ikke har et beredskab i weekenden, og at mailen først var blevet set i sparekassen kl. ca. 10, hvorfor transaktionerne ikke var blevet stoppet. Det lykkedes svindleren af hæve kr. 26.150 af de i alt kr. 35.561,55, der stod på kontoen.
Efterfølgende har jeg undret mig over, hvordan det lykkedes for svindleren at gennemføre transaktionerne, da der skal gå en time fra engangskoden er genereret til den kan bruges. Jeg oplyste koden ca. 19.30 og overførslerne er sket mellem ca. kl. 19.36 og 19.44 dansk tid.”
Efterfølgende har klageren over for Ankenævnet præciseret sagsforløbet som følger:
Klageren har under sagens forberedelse i Ankenævnet fremlagt en SMS, som han modtog fredag den 17. november 2023 kl. 17:59, hvoraf fremgik:
”Nets har opdateret sikkerheden. Manglende overholdelse kan blokere dit MitID. Opdater her: [Link]”
Klageren har ligeledes fremlagt følgende SMS, som han modtog senere, hvoraf fremgik:
”MitID engangs-kode: [xxxxx]
VIGTIGT: Del ikke denne kode med andre.
Har du ikke bedt om en kode, så læs mere på vores hjemmeside.”
Sparekassen har oplyst, at klageren har videregivet fortrolige oplysninger, herunder bruger-id til MitID og MitID engangskode og verificeret med pas, hvilket har medført, at svindleren har oprettet klagerens MitID på sin enhed.
Parternes påstande
Klageren har nedlagt påstand om, at Middelfart Sparekasse skal betale 8.000 kr., subsidiært at sparekassen alene beregner sig en selvrisiko på 375 kr.
Middelfart Sparekasse har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at han ikke har handlet groft uforsvarligt, men har været i god tro. Som det fremgår af sagsforløbet, spillede en række tilfældigheder sammen, der gjorde, at han opfattede den samlede situation som troværdig. Han har ikke godkendt nogen overførsler, idet han hverken havde adgang til sin netbank eller kunne anvende sit MitID på det pågældende tidspunkt. Han har heller ikke anvendt et falsk Nets-link i forbindelse med svindlen, og han har ikke udleveret pasoplysninger.
Han er 21 år og lige flyttet hjemmefra. Han har måske nok handlet ufornuftigt set i bagklogskabens lys, men han har ikke handlet groft uforsvarligt.
Han modtog en venlig, tålmodig og – som han oplevede det – kompetent hjælp, som han troede blev ydet af sparekassen, da han havde problemer med at tilgå sin konto. Han reagerede med det samme, da han fik mistanke om svindel.
Det bestrides, at der stod i SMS’en med engangskoden, som han modtog, at han heller ikke måtte dele den med en, som påstod at komme fra sparekassen eller support.
Han er aldrig blevet oplyst eller vejledt af sparekassen om risikoen for snyd og bedrag og om, hvordan han kunne sikre sig. Sparekassen er den nærmeste til at sikre denne viden hos egne kunder.
Sparekassens henvisning til den offentlige debat om emnet er ikke rimelig. Sparekassen forventer dermed, at han som ung voksen selv skal holde sig orienteret om, hvordan han skal sikre sine penge i sparekassen, der opbevarer pengene for ham.
De af sparekassen tilbageholdte 8.000 kr. er mange penge for ham. Det er det, han lever for i tre måneder, så at tro, at han vil handle groft uforsvarligt omkring et beløb af den størrelsesorden, er simpelthen nedladende.
Han blev narret, men sparekassen er den, der bedst kan bære tabet og også den, der ved sædvanlig omhu kunne have sikret sig, at skaden ikke var sket. Sparekassen skal derfor tilbageføre 8.000 kr. til ham.
Middelfart Sparekasse har til støtte for frifindelsespåstanden anført, at ved at klageren udførte de handlinger, som personen bad klageren om, herunder at videregive sit bruger-ID til MitID, scanne pasoplysninger og Face ID samt oplyse den engangskode, som klageren havde fået tilsendt fra MitID, gav klageren personen adgang til at kunne anvende sit MitID.
Henset til at klageren har anvendt et ”Nets-link”, som med stor sandsynlighed har været phishing, har videregivet fortrolige oplysninger, herunder bruger-ID til MitID og MitID engangskode og verificeret med pas, samt henset til Ankenævnets nyere afgørelser, er det sparekassens vurdering, at klagerens handlinger er omfattet at betalingslovens § 100, stk. 4, nr. 3, og at klageren derfor hæfter med en selvrisiko på 8.000 kr. for tab som følge af andres uberettigede anvendelse.
Det fremgår af den af klageren fremlagte SMS fra MitID med engangskoden, at det heri var anført, at koden ikke måtte deles med andre. Klageren valgte på trods af dette at dele koden med personen i telefonen, hvilket må betragtes som grov uforsvarlig adfærd.
Sparekassen er ikke bemandet i weekenderne. Klageren oplyser, at han lørdag den 18. november 2023 modtog fem ubesvarede opkald fra sparekassens hovednummer 64222222, hvorefter klageren selv ringede til hovednummeret og via en automatbesked blev oplyst om, at sparekassen var lukket i weekenden. På trods af dette valgte klageren alligevel at tage telefonen og snakke med personen, da sparekassens ”hovednummer” igen ringede ham op. Denne manglende opmærksomhed fra klagerens side, er endnu et element i den samlede vurdering af, at klageren udviste en grov uforsvarlig adfærd i forbindelse med misbruget.
I øvrigt kunne klageren have spærret kortet uden at skulle tale med en medarbejder. Kortet kan spærres både i netbanken, i mobilbanken, eller ved opkald til Nets og spærring er ikke afhængig af sparekassens åbningstid.
Alle transaktioner blev lavet med et aktivt kort, idet klagerens kort først blev spærret den 18. november 2023 kl. 20:07:16.
Da transaktionerne blev gennemført den 18. november 2023, havde sparekassen ikke mulighed for at slette transaktionerne, da klageren skrev til sparekassen om transaktionerne den 19. november 2023. Det var efterfølgende ikke muligt at hente nogle af pengene retur.
Der har i de seneste år været store landsdækkende reklamer med fokus på, at man ikke må udlevere sine personlige oplysninger, samt tilhørende personlige koder. Det synes derfor at være almindeligt kendt, at man ikke udleverer disse oplysninger, ej heller til personer der ringer og udgiver sig for at være personer, som man normalt kan have tiltro til.
Til støtte for den subsidiære påstand har sparekassen anført, at hændelsesforløbet er så uklart, at en yderligere afdækning heraf vil kræve parts- og vidneforklaring, hvilket ikke er muligt ved Ankenævnet. Ankenævnet bør derfor afvise sagen under henvisning til § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.
Ankenævnets bemærkninger
Klageren var kunde i Middelfart Sparekasse, hvor han havde en konto med et tilknyttet betalingskort.
Lørdag den 18. november 2023 blev der foretaget fire korttransaktioner med klagerens betalingskort, som han ikke kan vedkende sig. Der var tale om følgende transaktioner: En transaktion på 9.000 kr. kl. 19:36:53 til en udenlandsk betalingsmodtager, R, og tre transaktioner på henholdsvis 4.400 kr. kl. 19:41:28, 8.000 kr. kl. 19:42:19 og 4.750 kr. kl. 19:43:31 til en udenlandsk betalingsmodtager, Z.
Sparekassen godtgjorde klagerens tab fratrukket 8.000 kr.
Ankenævnet lægger til grund, at transaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Klageren har anført, at han ikke har godkendt nogen overførsler, idet han hverken havde adgang til sin netbank eller kunne anvende sit MitID på det pågældende tidspunkt. Han har heller ikke anvendt et falsk ”Nets-link” i forbindelse med svindlen, men har alene klikket på linket og har ikke foretaget sig yderligere. Han har hentet og udleveret en engangskode til personen i telefonen. Han har ikke udleveret pasoplysninger.
Sparekassen har anført, at klageren har anvendt et ”Nets-link”, har videregivet fortrolige oplysninger, herunder bruger-ID til MitID og MitID engangskode og verificeret med pas, hvilket har medført, at svindleren kunne oprette klagerens MitID på sin enhed, hvorved klageren ved groft uforsvarlig adfærd muliggjorde gennemførelsen af de ikke vedkendte transaktioner.
Ankenævnet finder, at der i sagen mangler nærmere oplysninger om, hvilke oplysninger klageren har udleveret til tredjemand, hvilke tekster klageren måtte have godkendt i sin MitID-app i forbindelse med oprettelse af en ny MitID-app på tredjemands enhed og om, hvilke beskeder fra MitID, som klageren modtog undervejs. Ankenævnet finder således, at en afklaring af de nærmere omstændigheder omkring aktiveringen af MitID på tredjemands enhed forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.