Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion godkendt i MitID.

Sagsnummer:304/2024
Dato:19-12-2024
Ankenævn:Vibeke Rønne, Andreas Moll Årsnes, Janni Visted Hansen, Rolf Høymann Olsen og Jørgen Lanng.
Klageemne:Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion godkendt i MitID.
Indklagede:Nordea Danmark, filial af Nordea Bank Abp, Finland
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun havde en konto med et tilknyttet betalingskort -868. Klageren havde herudover MitID.

Den 4. maj 2024 blev der med klagerens betalingskort foretaget en kortbetaling på 495 EUR, svarende til 3.711,39 DKK. Klageren kan ikke vedkende sig betalingen.

Banken har oplyst, at betalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app nr. -2268, der blev aktiveret på klagerens telefon den 18. januar 2024. Banken har fremlagt en udskrift med udklip fra klagerens MitID, hvoraf teksten, der blev sendt til hendes MitID-app fremgår:

”Betal 495,00 EUR til [betalingsmodtager B] fra kort xx9868”

Banken har oplyst, at transaktionen var korrekt registreret og bogført, og at den i øvrigt ikke var fejlbehæftet.

Om baggrunden for transaktionen har klageren har oplyst, at hun havde en taske til salg på handelsplatformen Marketplace på Facebook. Den 4. maj 2024 blev hun kontaktet af en person, der ønskede at købe tasken med betaling af taskens pris og fragt via DAO-app. Personen ville sende en sms til hende med et link, som hun skulle godkende ved transaktion på 0 DKK, hvorved hun bekræftede, at det var hende, som personen skulle overføre pengene til. Hun tjekkede personens profil på Facebook, men fandt intet mistænksomt. Hun trykkede på linket, og blev ledt ind på DAO’s hjemmeside, hvor der øverst stod ”1., 2., 3.” trin i transaktion, navn og adresse på personen samt et felt til udfyldelse af kontonummer. Hun udførte dette, men var ikke klar over, om det virkede, hvilket hun skrev til personen. Personen guidede hende ind på en chat-side, hvor der i øverste højre hjørne i et lille billede var vist en person, og man kunne via den lille grønne prik se, at personen var online. Hun skrev i chatten, at hun ikke var helt sikker på, hvad hun skulle gøre, men hun fik ikke noget svar. På dette tidspunkt fik hun mistanke om at, der var noget galt. Hun skyndte sig at spærre sit betalingskort og skifte pinkode på sit MitID. Hun er ikke sikker på, om hun brugte sit MitID, da alting gik meget hurtigt. Hun nulstillede herefter sin konto, men overstå, at hun kan overtrække med 5.000 DKK.

Den 8. maj 2024 blev betalingen bogført på klagerens konto.

Klageren opdagede betalingen den 9. maj 2024, hvorefter hun kontaktede banken. Klageren har oplyst, at banken anbefalede, at hun spærrede sit MitID, hvilket hun gjorde. Spærringen af hendes MitID betød imidlertid, at hun ikke kunne anmelde forholdet til politiet, da det krævede brug af MitID.

Den 13. maj 2024 gjorde klageren indsigelse mod betalingen ved en tro- og loveerklæring.

Den 14. maj 2024 afviste banken indsigelsen og henviste til, at klageren hæftede med op til 8.000 DKK.

Klageren og banken korresponderede i den følgende periode om sagen.

Parternes påstande

Den 2. juni 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbageføre 3.711,39 DKK til hende.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun ikke godkendte en betaling på 495 EUR, og at hun aldrig har set teksten ”Betal 495,00 EUR til [betalingsmodtager B] til kort xx9868”. Dette har hun også meddelt banken. Havde hun modtaget teksten i sin MitID-app, ville hun have vidst, at hun godkendte en rigtig betaling, og hun ville desuden have kunnet se, at det kom fra udlandet.

Banken sagde, at hun skulle gå til sin MitID-aktivitetsoversigt, hvor hun efter sigende kunne se betalingen. Det lykkedes hende dog ikke at finde betalingen med dette navn og beløb, hvorfor hun bad banken om en kopi af dette. Hun fik i den forbindelse et eksempel på, hvordan det skal se ud med et fiktivt navn, men hun har til dato ikke kunne finde dette.

Det fremgår ikke af hendes kontoudskrift, hvem der modtog beløbet. Det fremgår heller ikke af hendes oversigt over hendes MitID-aktivitet. Hun er sikker på, at svindleren har været urolig dygtig til at sløre sit spor, så hun ikke har kunnet se, hvilket beløb, der reelt blev trukket.

Derudover kan hun i MitID-aktivitetslisten, når hun folder den ud, se ”Brugeragent: Mozilla/5.0 […]", hvilket i hendes optik viser, at svindleren brugte PC til at stjæle pengene med. Hun og banken har haft en del korrespondance frem og tilbage om dette. Hun er klar over, at hun burde have tænkt sig bedre om, men er også af den mening, at hvis man svindles af professionelle, handler man ikke groft uforsvarligt. Hvis det var tilfældet, ville al svindel være groft uforsvarligt. Det undrer hende også, at selvom hun spærrede sit betalingskort og skiftede pinkode på sit MitID, så kunne svindleren stadig hæve beløbet fra hendes konto fire dage senere. Hvordan kan det ske?

Nordea Danmark har anført, at betalingen på 495 EUR er korrekt registreret, bogført og i øvrigt ikke fejlbehæftet. Klageren har også erkendt at have foretaget betalingen, blot med et andet beløb.

Udskriften fra Nets viser, at klageren blev præsenteret for teksten ”Betal 495,00 EUR til [betalingsmodtager B] fra kort xx9868”, hvorfor der ikke kan være tvivl om, at klageren godkendte betalingen på netop dette beløb.

At klageren gennem processen med betalingen på den hjemmeside, som hun var blevet linket til, så, at hun kun skulle betale 0 DKK, ændrer ikke herpå.

Når klageren valgte at godkende et beløb 495 EUR – mod en forventet betaling på 0 DKK – som hun efterfølgende ikke vil vedkende sig, så var selve godkendelsen af betalingen i MitID-nøgleappen groft uforsvarlig adfærd fra hendes side, hvorfor banken var berettiget til at tage en selvrisiko på 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnets bemærkninger

Klageren var kunde i Nordea Danmark, hvor hun havde en konto med et tilknyttet betalingskort -868. Klageren havde herudover MitID.

Den 4. maj 2024 blev der med klagerens betalingskort foretaget en kortbetaling på 495 EUR, svarende til 3.711,39 DKK. Klageren kan ikke vedkende sig betalingen.

Banken har anført, at klageren selv godkendte betalingen i sin MitID-app, hvor der fremgik følgende tekst: ”Betal 495,00 EUR til [betalingsmodtager B] fra kort xx9868”.

Den 8. maj 2024 blev betalingen bogført på klagerens konto.

Det lægges til grund, at transaktionen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter den var godkendt, uanset tidspunktet for den efterfølgende spærring af kortet og debitering af beløbet på klagerens konto.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Vibeke Rønne, Andreas Moll Årsnes og Janni Visted Hansen – udtaler:

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 495 EUR til betalingsmodtageren B i sin MitID-app.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID-appen, hvor hun fik oplysning om beløbet på 495 EUR og beløbsmodtager B, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Rolf Høymann Olsen og Jørgen Lanng – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel.

Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren med 375 DKK, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 3.336,39 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i sagen.