Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID-app.

Sagsnummer: 723/2023
Dato: 14-06-2024
Ankenævn: Henrik Waaben, Jonas Thestrup Nielsen, Karin Sønderbæk, Rolf Høymann Olsen og Ann-Mari Faldt Agerlin.
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID-app.
Indklagede: Ringkjøbing Landbobank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID-app.

Sagens omstændigheder

Klageren var kunde i Ringkjøbing Landbobank, hvor hun havde et betalingskort nr. -5829.

Den 3. oktober 2023 kl. 16.00 blev der foretaget en betaling på 12.781,66 DKK med klagerens betalingskort nr. -5829 til en betalingsmodtager, A, som klageren ikke kan vedkende sig.

Den 4. oktober 2023 kl. 10.13 blev der gennemført en betaling på 359,00 USD (2.601,41 DKK) til en betalingsmodtager, R, med klagerens betalingskort nr. -5829. Banken har oplyst, at transaktionen ikke blev gennemført og godkendt med en ekstra sikkerhedsforanstaltning, hvorfor banken kunne gøre indsigelse overfor forretningen. Beløbet blev refunderet, og banken indsatte 2.601,41 DKK på klagerens konto den 6. oktober 2023.

Sagen angår således alene transaktionen på 12.781,66 DKK.

Klageren har oplyst, at baggrunden for betalingen på 12.781,66 DKK var, at hun havde modtaget en SMS, der fremstod som værende fra MobilePay, med et link, som hun fejlagtigt klikkede på. Klageren har anført, at hun ikke godkendte betalingen i sin MitID-app.

Banken har oplyst, at betalingen på 12.781,66 DKK blev foretaget ved godkendelse i klagerens MitID-app nr. -8331, som var installeret på klagerens telefon den 7. marts 2022. Af en fremlagt MitID log fremgår, at klageren den 3. oktober 2023 havde to aktive MitID-apps (MitID-app nr. -8331 installeret den 7. marts 2022 og MitID-app nr. -3219 installeret den 20. februar 2022), og at der den 3. oktober 2023 kl. 16.00 skete autentificering fra MitID-app nr. -8331. Banken har fremlagt transaktionsdetaljer fra Nets af teksten, der blev sendt til MitID-app i forbindelse med godkendelse af betalingen. Af teksten fremgik:  

”Betal 12781,66 DKK til [A] fra kort xx5829”

Af transaktionsdetaljerne fra Nets fremgår endvidere en IP-adresse -99 fra Tyskland, og at transaktionen blev godkendt i MitID-app (”approved method: mitid.code _ app (071)”).

Banken har oplyst, at transaktionen var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Klageren indgav indsigelse til banken og oplyste:

”… Beskriv hvad er er sket:

Jeg er blevet fratrukket over 12.000 kr. til et spansk Tele, Internet og Tv-selskab i Madrid [A]… Det er ikke et selskab jeg har handlet med. Ifølge Nets og MitId er transaktionen foregået ved godkendelse igennem MitId. Der har eftersigende været en del aktivitet på mit MitId tirsdag 3/10 kl 16.00, hvor jeg sad til møde på min arbejdsplads.

Jeg har ikke foretaget dette køb.

Er du på noget tidspunkt blevet kontaktet og bedt om at bekræfte/oplyse dit betalingskort eller dine personlige oplysninger?

Nej jeg er ikke blevet kontaktet. …”

Klageren anmeldte endvidere sagen til politiet.

Banken meddelte, at klageren hæftede for 8.000 DKK af transaktionsbeløbet og overførte 4.781,66 DKK til klageren. Klageren klagede over bankens beslutning om, at hun selv hæftede med op til 8.000 DKK, og anførte blandt andet:

”… Jeg har ikke godkendt overførslen via MitId eller swipet MitId i forbindelse med de to transaktioner. Jeg har ikke indtastet nogle oplysninger eller konto-detaljer. Da transaktionerne fandt sted, befandt jeg mig i møde på mit arbejde og er kommet til at klikke på et smishing-link i en modtaget sms – se screenshot længere nede. …

Jeg har aldrig set betalingsteksten om at overføre DKK 12.781,66 til [A]. Jeg har intet med det selskab at gøre. Det samme gør sig gældende for den anden transaktion på DKK 2601,41 til [R]

Der er sket et regulært bedrageri …

Tirsdag den 3/10 kl 14-16.30 sidder jeg i møde på mit arbejde. Jeg modtager kl. 14.41 en sms. Jeg trykker muligvis på linket, men gør ikke yderligere og lægger telefonen fra mig.

Screen shot af sms med link: …

Kære bruger, detaljerne om MobilePay er udløbet, du vil ikke få adgang til dine online funktioner [link] …”

Parternes påstande

Den 30. november 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Ringkjøbing Landbobank skal tilbageføre 8.000 DKK til hende.

Ringkjøbing Landbobank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har blandt andet anført, at hun sad i et møde på sit arbejde den 3. oktober 2023 fra kl. 14-16.30. Klokken 14.41 blev hun distraheret af en smishing-sms med et link, som hun fejlagtigt klikkede på. Hun foretog sig derefter intet andet på sin telefon i minutterne/timerne efter. Efterfølgende kunne hun se, at hændelsesloggen fra hendes MitID havde en irrationel og intens aktivitet med anmodninger og godkendelser, mens hun sad til møde på sit arbejde i Nordsjælland.

Hun har ikke indtastet nogen oplysninger eller swipet nogle beløb via MitID til godkendelse i tidsperioden fra kl. 14.41 til kl. 16.00 den 3. oktober 2023. Hun havde ikke sin MitID-app åben i dette tidsrum. Hun har aldrig modtaget eller set teksten: ”Betal 12.781,66 DKK til [A] fra kort XX5829” på sin telefon. Banken kan ikke dokumentere, at hun fra sin lokation skulle have udført swipet. At klikke på et link er ikke det samme som at swipe med MtID.

To dage senere opdagede hun en uautoriseret betaling på 12.781,66 DKK til et spansk netværksfirma. Hun lukkede sit betalingskort, suspenderede MitID, politianmeldte sagen og lavede indsigelse til banken. Hun skrev desuden en e-mail til betalingsmodtageren om, at hun havde været udsat for tyveri.

Dagen efter var der igen en uautoriseret betaling, som hun hurtigt fik udført samme procedure for. Hun fik hele beløbet på 2.601,41 DKK retur for denne transaktion.

Hun har været udsat for identitetstyveri og digitalt bedrageri via smishing.

Sagen efterforskes i politiets bedrageri-afdeling som del af en større hvidvaskningssag.

Der er en række digitale spor, som ikke er hendes. Det fremgår af IP-landekoden, at hun skulle have foretaget transaktionen, mens hun var i Tyskland. Hun har mere end 55 kolleger, der kan bekræfte, at hun sad til møde i Nordsjælland. Den pågældende IP-adresse -99, som ikke er hendes, er i øvrigt registreret med lokation i Bulgarien.

Det er faktuelt forkert, når banken anfører, at et MitID-identifikationsmiddel kun kan være installeret på én enhed. Dels har hun nu selv oplevet, at MitID blev anvendt af andre, dels fik hun i en samtale med politiets bedrageriafdeling bekræftet, at der verserer masser af sager med IT-kriminelle hackere, som er lykkedes med at overtage andres MitID.

Ringkjøbing Landbobank har til støtte for frifindelsespåstanden anført, at et MitID-identifikationsmiddel kun kan være installeret på én enhed, ligesom der i godkendelsesproceduren skal foretages en fysisk swipebevægelse på den enhed, som godkendelsesanmodningen er sendt til. Swipebevægelsen/godkendelsen kan ikke fjerngennemføres.

Den 3. oktober 2023 kl. 16.00 blev der anvendt stærk kundeautentifikation ved brug af et eksisterende MitlD-app nr. -8331 i forbindelse med godkendelse af transaktionen.

Da godkendelsesanmodningen vedrørende transaktionen blev sendt til en enhed, hvor klagerens MitlD-app nr. -8331 var installeret, kan det kun være klageren selv, der foretog en fysisk swipebevægelse i forbindelse med godkendelsen af transaktionen.

Inden godkendelsen af transaktionen fremgik følgende besked i MitlD-app'en "Betal 12781,66 DKK til [A] fra kort xx5829".

Det er på baggrund heraf bankens vurdering, at klageren ved godkendelsen af transaktionen udviste en groft uforsvarlig adfærd, som medførte, at den omtvistede transaktion blev gennemført, hvorfor klageren selv hæfter med en selvrisiko på 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.

Til klagerens bemærkninger angående IP-adressen og landekoden bemærkes, at en transaktion godt kan være påbegyndt fra anden IP-adresse og landekode, end den IP-adresse og landekode, hvorfra transaktionen blev godkendt med MitlD.

Ringkjøbing Landbobank har til støtte for afvisningspåstanden anført, at Ankenævnet bør afvise at behandle klagen, da behandlingen forudsætter yderligere bevisførelse i form af parts- og vidneafhøringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Ringkjøbing Landbobank, hvor hun havde et betalingskort nr. -5829.

Den 3. oktober 2023 kl. 16.00 blev der foretaget en kortbetaling på 12.781,66 DKK fra klagerens konto i banken til en betalingsmodtager, A, som klageren ikke kan vedkende sig.

Klageren har oplyst, at hun havde modtaget en SMS, der fremstod som værende fra MobilePay, med et link, som hun fejlagtigt klikkede på. Klageren har anført, at hun ikke godkendte betalingen i sin MitID-app.

Banken har oplyst, at betalingen blev gennemført ved godkendelse med klagerens MitID.

Banken har dækket klagerens tab med fradrag af 8.000 DKK.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.