Indsigelse mod at hæfte for op til 8.000 DKK af en korttrans-aktion, der blev godkendt med 3D-secure.
| Sagsnummer: | 253/2024 |
| Dato: | 31-01-2025 |
| Ankenævn: | Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen, Karin Sønderbæk, Rolf Høymann Olsen og Martin Hare Hansen. |
| Klageemne: |
Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for op til 8.000 DKK af en korttrans-aktion, der blev godkendt med 3D-secure. |
| Indklagede: | Danske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK af en korttransaktion, der blev godkendt med 3D-secure.
Sagens omstændigheder
Klageren var kunde i Danske Bank, hvor han blandt andet havde en konto -081 med et tilknyttet betalingskort -768.
Den 25. marts 2024 blev der foretaget en korttransaktion på 800 EUR svarende til 5.967,30 DKK med klagerens betalingskort -768 til en udenlandsk betalingsmodtager, betalingsmodtager A.
Klageren har oplyst, at han var blevet udsat for at hackerangreb på sin konto -768, efter han havde modtaget sin pension, og at hackerne havde hævet 5.967,30 DKK.
Banken har fremlagt en udskrift af klagerens MitID-log. Heraf fremgår blandt andet, at klageren havde et aktivt MitID-identifikationsmiddel -923, som blev aktiveret på en iPhone 13 (model identifier 14,5) den 18. juni 2023.
Banken har fremlagt en udskrift af transaktionen på 800 EUR, hvoraf fremgår, at betalingen på 800 EUR blev foretaget den 25. marts 2024 kl. 14:21. Af en udskrift af klagerens MitID-log fremgår blandt andet:
”25-03-2024 14:21:11 … App – autentificering lykkedes
…
MitID identifikationsmiddel-ID [-923]
…”
Banken har anført, at kortbetalingen af 25. marts 2024 kl. 14:21 blev godkendt med stærk kundeautentifikation i klagerens MitID -923, der var installeret på klagerens iPhone 13. Banken har endvidere anført, at klageren fik præsenteret følgende tekst i MitID i forbindelse med godkendelse af kortbetalingen:
”Betal 800,00 EUR til [betalingsmodtager A] fra kort xx[-768]”
Ved tro og love-erklæring af 28. marts 2024 gjorde klageren indsigelse mod betalingen. Klageren oplyste i tro og love-erklæringen blandt andet, at han ikke havde foretaget transaktionen på 800 EUR, og at betalingskortet var i hans besiddelse på tidspunktet for den eller de ikke-godkendte transaktioner.
Den 2. april 2024 blev der gennemført en transaktion på 200 DKK til betalingsmodtager S.
Den 13. april 2024 anmeldte klageren bedrageriet til politiet. Ved politianmeldelse af 13. april 2024 fremgår blandt andet:
”…
[Klageren] anmelder herved et Hacker angreb på min nem konto [-081] hos Danske Bank d.27/03/24, kl. 11:02. Straks efter min pension var gået ind, blev der hævet kr. 5.967,30 (800 Euro) Reference nr. [nummer] af [betalingsmodtager A] (Købsdato: 25/03/24). Ligeledes blev der 02/04/24 hævet kr. 200 af [betalingsmodtager S] (Reference nr. [nummer]). Straks ved opdagelsen fik jeg spæret mit kort og tilsendt et nyt. Danske Bank har dog først oplyst d. 12/4 som svar på min indsigelse transaktionen er sket via Mit-ID, som jeg nu får fornyet. Ligeledes er jeg også først nu blevet rådgivet til at lave politianmeldelse for at kunne få refusion. Jeg beder Dem venligst om en bekræftende kvittering for min anmeldelse, som jeg kan vedlægge min indsigelses sag til Danske Bank […] Har De behov for flere oplysninger er De velkommen til at kontakte mig. …
…”
Samme dag godtgjorde banken klageren 200 DKK vedrørende transaktionen af 2. april 2024 og afviste at dække kortbetalingen på 5.967,30 DKK. Klageren gjorde indsigelse mod bankens afvisningen. Den 25. april 2024 fastholdt banken sin afvisning.
Parternes påstande
Den 27. april 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal godtgøre ham betalingen på 5.967,30 DKK.
Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at han er blevet bedraget og at han følte sig vildledt, misforstået og tilsidesat af banken. Ved bedrageriet mistede hans sin pensionsindkomst for april måned. Han kontaktede straks bankens hotline. Bankens hotline spærrede hans kreditkort og bestilte et nyt. Han blev herefter gjort opmærksom på, at transaktionen på 800 EUR skulle være sket ved brug af hans MitID. Han har ikke accepteret betalingerne på 800 EUR eller 200 DKK, hvorfor de ikke er autoriseret af ham.
Han har ikke modtaget mistænkelige opkald eller indkommende beskeder om godkendelse af betaling til betalingsmodtager A. Han har ikke modtaget nogen serviceydelser eller produkter fra betalingsmodtager A. Han ejer ikke en iPhone 14,5 men i stedet en iPhone 13. Han modtog aldrig den specifikke tekst, som banken gør gældende, at han modtog.
Det er korrekt, at MitID er installeret på hans mobiltelefon, men han har ikke videregivet sine kontooplysninger til tredjemand og har ikke handlet groft uforsvarligt. Svindlen var mulig, fordi nutidens bedragere har højnet niveauet af deres svindel, og fordi der er en brist i bankens systemer, som ikke er afdækket. Han har ikke en iPhone 14,5, men en iPhone 13. Hans iPhone 13 står til politiets disposition for afdækning af postulatet om, at der var anvendt to trins godkendelser mm.
Banken henviste ham hverken til at indgive en politianmeldelse eller få fornyet sit MitID. Dette gjorde han på eget initiativ, da han var af den fornemmelse, at banken ikke ville anmelde forholdet. I forbindelse med anmeldelsen af sagen til politiet blev han oplyst, at det ikke var nødvendigt at indgive en politianmeldelse, hvis MitID var misbrugt, da bankerne selv er forpligtigede til at efterforske sagen.
Betalingen blev bogført den 27. marts 2024. Det undrede ham, at dette var muligt, når han dagen forinden havde gjort indsigelse.
Banken dækkede transaktionen på 200 DKK, men ikke transaktionen på 800 EUR. Banken har ikke fremlagt dokumentation for, hvordan betalingen på 200 DKK var gennemført, herunder om transaktionen var gennemført ved brug af et betalingskort og MitID. Banken har ikke forklaret ham, hvorfor den ville dække betalingen på 200 DKK, men ikke betalingen på 800 EUR. Det undrer ham, at betalingen på 200 DKK ikke omfattet af selvrisikoen på 8.000 DKK, men betalingen på 800 EUR er. Banken har ikke fremlagt dokumentation for, at selvrisikoen er 8.000 DKK.
Han har været en betroet kunde i banken gennem mange årtier. Som en troværdig og loyal kunde i banken gennem et livslangt forløb, er han berettiget til en retfærdig og retmæssig refusion samt en uforbeholden undskyldning for et sjusket forløbet i en svær tid. Som offer for økonomisk kriminalitet skal han tildeles de bedste vilkår for en refusion. Banken har ikke fremlagt verificerede oplysninger i sagen.
Han bestrider, at behandlingen af transaktionen på 200 DKK skal udgå af sagen.
Danske Bank har til støtte for frifindelsespåstanden anført, at korttransaktionen på 800 EUR svarende til 5.967,30 DKK, som klageren har gjort indsigelse imod, er korrekt registeret og bogført. Korttransaktionen er autoriseret med klagerens MitID, og dermed godkendt med stærk kundeautentifikation (to-faktor-autentifikation).
Det anvendte MitID var installeret på klagerens iPhone 13, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen. Klageren autoriserede selv betalingen, omend uforvarende. Klageren videregav selv sine kortoplysninger til tredjemand, der muliggjorde betalingsanmodningen. Det fremgik af godkendelsesteksten i klagerens MitID, at betalingsmodtageren var betalingsmodtager A, og at beløbet på 800 EUR ville blive trukket på klagerens betalingskort. Det måtte derfor have stået klart for klageren, at han var ved at foretage en betaling på det pågældende beløb til en ukendt modtager. Klageren befandt sig ikke i en presset situation i forbindelse med udleveringen af sine kortoplysninger og efterfølgende godkendelse af betalingen. Klageren har ved groft uforsvarlig adfærd muliggjort betalingen, hvorfor klageren hæfter med 8.000 DKK i henhold til betalingslovens § 100, stk. 4.
Banken havde ikke mulighed for at stoppe betalingen, da den var godkendt med MitID. Banken kan ikke tilbagekalde en betaling efter, at instruksen om betalingen er modtaget af banken, jf. betalingslovens § 111, stk. 1. Banken har ikke i øvrigt handlet ansvarspådragende.
Da banken den 13. april 2024 har godtgjort transaktionen på 200 DKK, bør denne transaktion udgå af klagen. Banken godtgjorde klageren denne betaling, da betalingen ikke var gennemført med stærk kundeautentifikation via MitID.
Banken har til støtte for afvisningspåstanden anført, at klagerens påstand om, at han ikke har godkendt beløbet, ikke hænger sammen med bankens oplysninger om, at korttransaktionen er autoriseret med klagerens MitID og dermed godkendt med stærk kundeautentifikation, og at klageren blev præsenteret for både beløbsmodtageren og beløbet i MitID, som er installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen.
En vurdering af sagen vil derfor kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. vedtægternes § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Danske Bank, hvor han blandt andet havde en konto -081 med et tilknyttet betalingskort -768.
Den 25. marts og 2. april 2024 blev der foretaget to korttransaktion på henholdsvis 800 EUR svarende til 5.967,30 DKK og 200 DKK med klagerens betalingskort -768 til en udenlandsk betalingsmodtager A og en udenlandsk betalingsmodtager B.
Banken har anført, at kortbetalingen på 5.967,30 DKK blev godkendt med 3D-secure i klagerens MitID-923, som var installeret på klagerens iPhone 13 (model identifier 14,5), som var i klagerens varetægt på tidspunktet for betalingen.
Ved tro og love-erklæring af 28. marts 2024 gjorde klageren indsigelse mod betalingen på 5.967,30 DKK. Af tro og love-erklæringen fremgår blandt andet, at klageren ikke har foretaget betalingen på 5.967,30 DKK. Klageren har herudover anført, at han ikke har modtaget mistænkelige opkald eller indkommende beskeder om godkendelse af betaling. Han har ikke modtaget serviceydelser eller produkter fra betalingsmodtagerne og har ikke accepteret betalingerne på 5.967,30 DKK eller 200 DKK.
Banken har godtgjort klageren betalingen på 200 DKK, da denne ikke var gennemført med stærk kundeautentifikation i MitID, men afviste at godtgøre klageren 5.967,30 DKK.
Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen på 5.967,30 DKK blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. § 100, stk. 4, nr. 3.
Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter for op til 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.