Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 DKK af korttransaktioner. Aktivering af MitID på tredjemands enhed.

Sagsnummer: 543/2023
Dato: 19-03-2024
Ankenævn: Henrik Waaben, Mette Lindekvist Højsgaard, Janni Visted Hansen, Rolf Høymann Olsen og Elizabeth Bonde.
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 DKK af korttransaktioner. Aktivering af MitID på tredjemands enhed.
Indklagede: Nordea Danmark
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktioner. Aktivering af MitID på tredjemands enhed.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun havde en konto -910 med et tilhørende Visa/Dankort -151 og et MasterCard -353.

Banken har fremlagt en udskrift fra klagerens MitID-portal, hvoraf fremgår, at klageren den 13. december 2021 aktiverede et MitID med identifikationsnummeret -196 på en iPhone 8 enhed.

Af udskriften fra MitID-portalen fremgår herudover, at klageren den 5. august 2023 kl. 16:36 anvendte MitID -196 til at tilgå MitID. Banken har oplyst, at klageren tilgik et MitID-godkendelsesbillede, hvoraf fremgik:

”[MitID.dk]

Godkend følgende?

Log på hos MitID.dk for at se eller ændre i din MitID profil

[àGodkend]”

Banken har anført, at klagerens MitID -196 den 5. august 2023 kl. 16:37 blev anvendt til at tilgå og godkende ændringer i MitID.   

Banken har oplyst, at klageren herefter modtog en SMS med indholdet:

”Du har bedt om adgang til at ændre oplysninger på MitID.dk og kan logge på om 1 time.

Har du ikke bedt om adgang? Ring til MitID support +45 33980010”

Banken har anført, at klageren samme dag kl. 17:37 tilgik MitID, hvoraf følgende Mit ID-godkendelsesbillede fremgik:

”[MitID.dk]

Godkend følgende?

Log på hos MitID.dk for at se eller ændre i din MitID profil

[àGodkend]”

Banken har anført, at klageren swipede godkend til MitID-godkendelsestekst, hvorefter klageren modtog en SMS med indholdet:

”Midlertidig Pin-Kode til MitID app: [xxx]

VIGTIGT: Del aldrig denne kode med andre. Heller ikke med en som påstår at komme fra banken eller support.”

Af udskriften fra MitID-portalen fremgår herudover:

”…

Dato/Tid

Hændelse

Tjenesteudbyder

Alvorlighedsgrad

05-08-2023 17:51

App – ny MitID app aktiveret

-

Kritisk

05-08-2023 17:48

Aktiveringskode – til MitID app valideret

-

Kritisk

05-08-2023 17:48

Aktiveringskode – til ny MitID app oprettet

-

Kritisk

05-08-2023 17:37

Oplysninger – MitID bruger tildelt adgang til at ændre oplysninger i MitID profil

-

Kritisk

05-08-2023 16:37

Oplysninger -MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil

-

Kritisk

…”

Banken har anført, at alle SMS’er blev sendt til klagerens telefonnummer, da telefonnummeret ikke blev ændret. Banken har hertil anført, at hvis telefonnummeret var ændret, så ville der af MitID-hændelsesloggen mellem 17.37 og 17:48 fremgå registreringerne: ”Oplysninger – ændret for MitID bruger” og ”Oplysninger – valideringskode sendt på SMS”.

Banken har oplyst, at MitID -216 herefter blev hentet ned på tredjemands iPhone 12, hvorefter der blev genereret en midlertidig pinkode, som blev sendt på SMS til klagerens telefonnummer, og at pinkoden herefter blev anvendt af tredjemand til at aktivere MitID -216.

Af udskriften fra MitID-portalen fremgår hertil:

05-08-2023 17:51                  App – ny MitID app aktiveret

Bruger ID                                  [-6df]

MitID identifikationsmiddel ID  [-216]

…”

Den 5. august 2023 blev klagerens Visa/Dankort -151 anvendt til to betalinger til to udenlandske betalingsmodtagere, D og R, på hhv. 1.015,30 EUR svarende til 7.642,54 DKK og 3.500 DKK, som klageren ikke kan vedkende sig.

Samme dag blev klagerens MasterCard -353 anvendt til to betalinger til to udenlandske betalingsmodtagere, DE og B, på hhv. 1.015,30 EUR, svarende til 7.642,38 DKK og 330 EUR, svarende til 2.483,98 DKK, som klageren ikke kan vedkende sig.

Banken har anført, at betalingerne blev godkendt med klagerens MitID –216.

Banken har anført, at betalingerne blev korrekt registreret og bogført og ikke var ramt af tekniske svigt eller andre fejl.

Klageren har oplyst, at hun i forbindelse med et salg ville bruge DAO til at sende den solgte genstand til køberen, men at hun i den forbindelse kom ind på en falsk side, hvor hun skulle godkende med sit MitID. Klageren har endvidere oplyst, at hun i det øjeblik, hun godkendte med sit MitID, fik en kode tilsendt, som medførte, at hendes MitID kunne anvendes på en anden enhed.

Klageren kontaktede banken omkring kl. 20:00 den 5. august 2023, hvorefter klagerens MitID -196 og 216 blev spærret.  

Betalinger for i alt 21.268,90 DKK blev bogført den 6. og 9. august 2023.

Ved to indsigelsesblanketter gjorde klageren indsigelse mod betalingerne. Af den ene indsigelsesblanket fremgår blandt andet:

”…

Grounds of dispute

Provide additional information / description of events

Udsat for svindel og har spærret alt lørdag, men de trukket to beløb inden kortet blev spærret, plus mitid blev spærret.

…”

Af den anden indsigelsesblanket fremgår blandt andet:

”…

Grounds of dispute

Provide additional information / description of events

Blev hacket d. 5/8, transaktion først dukket op nu. Lukkede alt d. 5/8. Blev lovet da alt blev lukket at der ikke var flere transaktioner. Lukkede kortet d. 5/8.

…”

Af begge indsigelsesblanketter fremgår:

”…

Reason

Unauthorized transactions or processing errors: I did not make nor authorized this transaction, I did not participate or authorize any of these transactions

…”

Banken meddelte klageren den 11. og 29. august 2023, at den ville dække klagerens tab med fradrag af 8.000 DKK, hvorfor banken godtgjorde klageren 13.268,90 DKK.

Banken har fremlagt sine dagældende regler for Dankort og Visa/Dankort, hvoraf det af blandt andet fremgår:

”…

10.2. Hæftelse og selvrisiko

Hvis dit kort er blevet misbrugt af en anden person og der i den forbindelse er anvendt en personlig sikkerhedsforanstaltning, kan du komme til at dække op til 375 kr. af det samlede tab.

Du skal dække tab op til 8.000 kr. i tilfælde af, at di kort har været misbrugt af en anden person og der i den forbindelse er anvendt en personlig sikkerhedsforanstaltning, og

  • du har undladt at underrette Nordea snarest muligt efter at have fået kendskab til, at kortet eller din mobiltelefon med wallet er bortkommet, eller at uberettigede har fået kendskab til den personlige sikkerhedsforanstaltning
  • du med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at du indså eller burde have indset, at der var risiko for misbrug, eller
  • du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

...”

Parternes påstande

Den 6. september 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal godtgøre hende 8.000 DKK.

Nordea Danmark har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hendes netbank er blevet hacket, og at hun har været udsat for svindel. Hun blev fanget i et net, og kunne ikke undgå det skete. Hun var i god tro.

Hun havde ikke bedt om at modtage en kode, der muliggjorde, at MitID kunne anvendes på en anden enhed, og kunne ikke stoppe svindlen. Hun har på intet tidspunkt udleveret sin kode. Hun har hverken oplyst sin kode til andre eller skrevet koden til nogen. Det kunne hun aldrig finde på. Hackerne må have fået adgang til hendes kode på en anden måde. Hun har ikke godkendt installation af MitID på nogen andens enheder, hvis det er sket, er det sket ved snyd.

Hun lukkede alle sine konti og MitID, men på trods af dette skete der to hævninger, som banken ikke kunne se. Banken meddelte hende, at der ikke var yderligere hævninger, men alligevel blev der trukket to beløb på hendes MasterCard. Banken havde ikke tjekket dette kort. Banken havde ikke oplyst hende, at der var sket hævninger på hendes MasterCard, før hun selv kontaktede banken en uge efter, det var sket.

Hun er uenig i bankens afgørelse. Hun har ikke handlet groft uforsvarligt. Banken har ikke forhørt sig godt nok om, hvordan hendes situation er.

Nordea Danmark har til støtte for frifindelsespåstanden anført, at klageren ved groft uforsvarlig adfærd har muliggjort tredjemands uberettigede anvendelse af klagerens betalingskort, idet klageren gjorde det muligt for tredjemand at installere klagerens MitID på tredjemands telefon.

Klageren godkendte to gange den 5. august 2023 login med MitID. Klageren modtog i forbindelse med første godkendelse meddelelse via blandt andet SMS om, at hun havde bedt om adgang til at ændre oplysninger på MitID.dk, hvilket kunne ske en time efter. En time senere modtog klageren en meddelelse via blandt andet SMS om, at hun nu havde adgang til at ændre sine oplysninger på MitID i 24 timer. Klageren reagerede ikke på disse meddelelser på trods af, at meddelelserne ikke stemte overens med køb af levering fra DAO.

Efterfølgende blev der sendt en SMS til klagerens telefonnummer, som indeholdt en midlertidig MitID-kode. I SMS’en fremgik det eksplicit, at klageren ikke måtte dele koden med andre. På trods deraf, blev pinkoden videregivet af klageren, idet koden blev anvendt kl. 17:51 til at installere MitID på en anden telefon end klagerens normale telefon.

Klagerens videregivelse af koden medførte, at tredjemand kunne gennemføre korttransaktionerne via en 3D-secure løsning med godkendelse i MitID installeret på tredjemands telefon. Klageren udviste derved groft uforsvarlig adfærd, som muliggjorde de foretagne transaktioner, hvorfor banken er berettiget til at tage en selvrisiko på 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3, samt afsnit 10.2 i Nordeas Regler for Dankort og Visa/Dankort.

Til støtte for afvisningspåstanden har banken anført, at da klageren bestrider at have videregivet den pågældende kode fra SMS’en til brug for aktivering af et nyt MitID app, så forudsætter afgørelse i sagen en vidneførelse for domstolene omkring, hvilke oplysninger klageren videregav til tredjemand på den falske DAO side, hvorfor sagen bør afvises jf. § 5, stk. 3, nr. 4 i Det finansielle ankenævns vedtægter.

Ankenævnets bemærkninger

Klageren var kunde i Nordea Danmark, hvor hun havde en konto -910 med et tilhørende Visa/Dankort -151 og et MasterCard -353.

Banken har fremlagt en udskrift fra klagerens MitID-portal, hvoraf fremgår, at klageren den 13. december 2021 aktiverede et MitID med identifikationsnummeret -196 på en iPhone 8 enhed.

Den 5. august 2023 blev klagerens Visa/Dankort -151 anvendt til to betalinger til to udenlandske betalingsmodtagere, D og R, på hhv. 1.015,30 EUR svarende til 7.642,54 DKK og 3.500 DKK, som klageren ikke kan vedkende sig.

Samme dag blev klagerens MasterCard -353 anvendt til to betalinger til to udenlandske betalingsmodtagere, DE og B, på hhv. 1.015,30 EUR, svarende til 7.642,38 DKK og 330 EUR, svarende til 2.483,98 DKK, som klageren ikke kan vedkende sig.

Banken har fremlagt udskrifter fra klagerens MitID-portal, hvoraf det fremgår, at klagerens MitID -196 forudgående for betalingerne den 5. august 2023 blev anvendt til at installere et nyt MitID -216 på en iPhone 12. Banken har anført, at dette skete ved, at klageren blandt andet udleverede en engangskode, som blev sendt til klagerens telefonnummer, til tredjemand. Banken har anført, at betalingerne blev godkendt med MitID -216.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30

Ankenævnet finder det godtgjort, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Banken har anført, at klageren to gange godkendte login med MitID, hvilket gav tredjemand adgang til at ændre oplysninger på MitID.dk, og at klageren herefter modtog en SMS-besked med en midlertidig kode, som ikke måtte udleveres til andre, og som blev anvendt af tredjemand til at installere MitID på en ny enhed, hvilket muliggjorde de omtvistede betalinger.

Klageren har anført, at hun ikke havde anmodet om en kode til at installere MitID på en ny enhed, og at hun ikke havde udleveret koden til nogen.

Ankenævnet finder, at en afklaring af de nærmere omstændigheder omkring aktiveringen af MitID på tredjemands enhed, herunder om hvordan engangskoden til brug for installering af MitID på tredjemands enhed kom tredjemand i hænde, forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.