Sagsnummer: | 569/2023 |
Dato: | 19-08-2024 |
Ankenævn: | Vibeke Rønne, Bjarke L. Svejstrup, Jimmy Bak, Morten Bruun Pedersen og Ann-Mari Agerlin. |
Klageemne: | Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger |
Ledetekst: | Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion. Aktivering/indrullering af MitID-app på svindlers enhed. |
Indklagede: | Jyske Bank |
Øvrige oplysninger: | |
Senere dom: | |
Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion.
Sagens omstændigheder
Klageren var kunde i Jyske Bank, hvor hun havde et Visa/dankort -5929.
Den 27. august 2023 kl. 14.10 blev der foretaget en korttransaktion med klagerens Visa/dankort på 1.079,12 USD (7.571,38 DKK) til en betalingsmodtager, C, som klageren ikke kan vedkende sig. Transaktionen blev bogført på klagerens konto den 31. august 2023.
Banken har oplyst, at betalingen blev godkendt i klagerens MitID-app med serienummer -2443, som var installeret den 27. august 2023 kl. 13.47, og at betalingen var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.
Klageren gjorde indsigelse mod transaktionen over for banken den 31. august 2023. Klageren anmeldte endvidere sagen til politiet. Banken afviste indsigelsen og anførte, at klageren selv hæftede med op til 8.000 DKK.
Banken har oplyst, at klageren i korrespondance med banken oplyste, at hun havde tøj til salg på internettet og blev kontaktet af en falsk køber. Hun modtog den 26. august 2023 en SMS, der tilsyneladende var fra DAO, om køb og levering og med et link. Klageren tilgik linket og indtastede sine kortoplysninger. Hun modtog den 27. august 2023 en ny SMS, hvoraf det fremgik, at hendes betalingsoplysninger var ved at blive behandlet, og at hun kunne forvente flere oplysninger via SMS inden for en time. Samme dag kl. 12.52 modtog klageren følgende besked:
”Verifikation af betalingsoplysninger er gennemført. Bekræft venligst modtagelsen igen: [Link].”
Banken har fremlagt et uddrag af klagerens MitID log. Det fremgår heraf, at der den 27. august 2023 på klagerens MitID var registreret en MitID-app -1874 (aktiveret den 14. december 2021 og spærret den 27. august 2023 kl. 15.12) og en MitID-app -2443 (aktiveret den 27. august 2023 kl. 13.47 og spærret den 27. august 2023 kl. 14.54). Der fremgår endvidere blandt andet følgende aktiviteter den 27. august 2023:
Tidspunkt |
Hændelse |
Alvorlighedsgrad |
13.47
|
App – ny MitID app aktiveret … MitID identifikationsmiddel-ID …[-2443] … |
Kritisk |
13.47 |
Midlertidig PIN-kode - til MitID app valideret |
Information |
13.47 |
Midlertidig PIN-kode – til MitID app sendt på SMS |
Information |
13.37 |
Aktiveringskode – til MitID app valideret |
Kritisk |
13.37 |
Aktiveringskode – til ny MitID app oprettet |
Kritisk |
13.36 |
Godkendelse – indtastet bruger-ID |
Information |
13.36 |
App – autentificering lykkedes MitID identifikationsmiddel-ID …[-1874] … |
Information |
13.36 |
Godkendelse – logget på med MitID |
Information |
12.53 |
Oplysninger – MitID bruger tildelt adgang til at ændre oplysninger i MitID profil |
Kritisk |
11.53 |
Oplysninger – MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil |
Kritisk |
11.53 |
Godkendelse – logget på med MitID |
Information |
11.53 |
App – autentificering lykkedes MitID identifikationsmiddel-ID …[-1874] … |
Information |
11.50 |
Godkendelse – indtastet bruger-ID |
Information |
Banken har supplerende oplyst, at forløbet i forbindelse med ændringerne i MitID var som følger:
Før man får adgang til at ændre følsomme oplysninger, herunder oprettelse af en ny MitID-app, skal der logges på brugerprofilen (første pålogning) og anmodes om adgang til at ændre oplysninger og logges af igen. I forbindelse med godkendelsen af første pålogning til brugerprofilen blev klageren i sin eksisterende MitID-app -1874 præsenteret for teksten:
”Godkend følgende?
Log på hos MitID.dk for at se eller ændre i din MitID profil”.
Klageren fik samtidig i MitID-appen oplyst følgende tekst:
”Godkendt
Godkendt, fortsæt til MitID.dk”
Af sikkerhedsmæssige årsager skal der gå mindst en time, før man kan logge på brugerprofilen igen (anden pålogning) og få adgang til at oprette et nyt identifikationsmiddel. I forbindelse med godkendelsen af anden pålogning til brugerprofilen blev klageren i sin eksisterende MitID-app -1874 igen præsenteret for teksten:
”Godkend følgende?
Log på hos MitID.dk for at se eller ændre i din MitID profil”.
Klageren fik samtidig i MitID-appen oplyst følgende tekst:
”Godkendt
Godkendt, fortsæt til MitID.dk”
Ved kritiske hændelser sendes der altid en besked (SMS-besked eller e-mail) til kontaktoplysninger tilknyttet brugerprofilen. Hændelserne i MitID-loggen kl. 11.53 ”MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil” og kl. 12.53 ”MitID bruger tildelt adgang til at ændre oplysninger i MitID profil” var kritiske hændelser. Der blev i den forbindelse sendt SMS’er henholdsvis om, at der var givet adgang til at ændre oplysninger en time senere, og at det nu var muligt at logge på brugerprofilen og ændre oplysninger de næste 24 timer. Modtageren blev samtidig oplyst om at kontakte MitID, hvis modtageren ikke havde bedt om adgangen. Ændring af kontaktoplysninger er også en kritisk hændelse.
Desuden kræver installering af MitID, at der anvendes en aktiveringskode, som genereres på brugerprofilen. Derudover sendes der en midlertidig pinkode enten via SMS-besked eller e-mail til de oplysninger, der fremgår af brugerprofilen. Der blev forud for installation af den nye MitID-app -2443 sendt en midlertidig kode på SMS. Af SMS’en fremgik:
” Midlertidig PIN-kode til MitlD app: […]
VIGTIGT: Del aldrig denne kode med andre. Heller ikke med en, som påstår at komme fra banken eller supporten.”
Der blev derefter sendt en SMS med oplysning om, at den nye MitID-app var aktiveret og besked om at kontakte MitID, hvis modtageren ikke havde bedt om adgangen.
Klageren har oplyst, at hendes telefonnummer hos MitID var blevet ændret. Klageren har fremlagt uddrag af sit MitID log, hvoraf det fremgår, at valideringskode blev sendt på SMS til et telefonnummer med landekode 44 den 27. august 2023 kl. 13.44.
Parternes påstande
Den 14. september 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal dække hendes tab.
Jyske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har blandt andet anført, at nogen kom ind på hendes MitID-konto. De ændrede telefonnummeret og foretog transaktioner fra hendes kort uden hendes tilladelse. De købte en vare for 7.571,38 DKK, som hun ikke har godkendt eller modtaget.
Hun har anmeldt sagen til politiet. Hun spærrede straks sin konto i banken.
Hvorfor blokerede banken ikke en så mistænkelig transaktion? Banken bør beskytte de penge, som kunden overlader til dem.
Hun kommer fra Polen og taler ikke dansk. Hun blev snydt, fordi hun ikke forstod, hvad der skete. Hun stolede på personen, som ville købe noget af hende. Desværre blev hun bestjålet.
Hun har haft en sygdom i ti år. Som følge af sygdommen er hun ude af stand til at tænke og reagere så hurtigt. Det er meget svært at fungere og træffe rationelle beslutninger med denne sygdom.
Jyske Bank har til støtte for frifindelsespåstanden blandt andet anført, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, hvorfor hun hæfter med op til 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4, nr. 3.
Klageren tilgik et link i en falsk SMS, udleverede sine kortoplysninger og foretog flere godkendelser i sin MitID. Klageren godkendte i sin egen MitID-app to gange med en times mellemrum, at svindleren kunne tilgå hendes MitID-profil og se eller ændre i hendes MitID-profil, herunder oprette en ny MitID-app. Ved godkendelserne i sin Mit-ID-app blev klageren to gange præsenteret for teksten ”Godkend følgende? Log på hos MitID.dk for at se eller ændre i din MitID profil”. Klageren burde dermed have indset, at hun var ved at give adgang til sin MitID brugerprofil til en svindler, så der kunne foretages ændringer, herunder oprettelse af en ny MitID-app med hendes oplysninger, og at hun ikke var i færd med at godkende modtagelsen af en betaling for salg af tøj. Hvis klageren havde læst teksterne, kunne misbruget have være undgået.
Klageren modtog desuden besked fra MitID, hvis der blev foretaget handlinger, som af MitID blev betragtet som ”kritiske” handlinger på hendes brugerprofil. For eksempel modtog hun en besked efter godkendelsen af handlingen kl. 11.53 ”Oplysninger – MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil”, hvor hun i forbindelse med godkendelse af svindlerens første pålogning blev oplyst om, at der var anmodet om at få adgang til at ændre hendes oplysninger i MitID-profilen. Samlet set modtog klageren adskillige beskeder, der burde have skærpet hendes opmærksomhed og givet hende anledning til at kontakte enten banken eller MitID.
Jyske Bank har til støtte for afvisningspåstanden anført, at der foreligger en sådan usikkerhed om det i sagen passerede, at en afgørelse heraf forudsætter en bevisvurdering i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Jyske Bank, hvor hun havde et Visa/dankort -5929.
Den 27. august 2023 kl. 14.10 blev der foretaget en korttransaktion med klagerens Visa/dankort på 1.079,12 USD (7.571,38 DKK) til en betalingsmodtager, C, som klageren ikke kan vedkende sig.
Det fremgår af sagen, at klageren i forbindelse med salg af tøj på internettet modtog en SMS, der tilsyneladende var fra DAO, om køb og levering og med et link. Klageren tilgik linket og indtastede sine kortoplysninger. Klageren har anført, at svindleren ændrede hendes telefonnummer hos MitID.
Banken har anført, at klageren udleverede sine kortoplysninger og selv tildelte svindleren adgang til at ændre i sin MitID-profil. Klageren har udvist groft uforsvarlig adfærd, hvorfor hun selv hæfter med op til 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.
Ankenævnet lægger til grund, at betalingstransaktionen var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).
Tre medlemmer – Vibeke Rønne, Bjarke L. Svejstrup og Jimmy Bak – udtaler:
Vi finder, at det må lægges til grund, at klageren har videregivet sine betalingskortoplysninger og MitID-oplysninger ti tredjemand, og at klageren den 27. august 2023 har godkendt aktiveringen af en ny MitID-app på tredjemands enhed i sin MitID-app, hvorved en svindler har kunnet foretage den omtvistede betaling.
Vi finder, at banken har godtgjort, at klageren derved ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. Klageren skal som følge heraf hæfte for misbrug med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Morten Bruun Pedersen og Ann-Mari Agerlin – udtaler:
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have handlet som sket.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, der muliggør misbruget.
Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 7.196,38 DKK til klageren.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.