Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagsnummer: 452/2024
Dato: 12-02-2025
Ankenævn: Bo Østergaard, Jonas Thestrup Nielsen, Janni Visted Hansen, Ann-Mari Agerlin og Poul Erik Jensen.
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Indklagede: Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor han blandt andet havde en konto med et tilknyttet betalingskort -234.

Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf blandt andet fremgår, at MitID -032 blev aktiveret 18. marts 2022.

Banken har fremlagt en udskrift fra sit system, hvoraf fremgår, at en SMS-besked blev sendt den 30. juni 2024 kl. 15:53:46. Af SMS-beskeden fremgår:

”Godkend dit køb på 10342,51 DKK hos [betalingsmodtager H] med engangskode: [XXX]. Købet trækkes på kortnr. [-234]”

Banken har anført, at SMS-beskeden blev sendt til klagerens mobiltelefonnummer.

Den 30. juni 2024 kl. 17:54 blev der gennemført en kortbetaling på 10.342,51 DKK med klagerens betalingskort -234 til en betalingsmodtager, betalingsmodtager H, som klageren ikke kan vedkende sig.

Banken har fremlagt en udskrift af klagerens MitID-log. Af udskriften fremgår:

”30-06-24 17:54:14 …                                App – autentificering lykkedes

MitID identifikationsmiddel-ID                     [-032]

…”

Banken har oplyst, at klageren både fik en SMS-besked og en anmodning i MitID, hvorved kortbetalingen enten kunne godkendes ved indtastning af en engangskode eller ved at swipe i MitID.

Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -032, som blev aktiveret på klagerens iPhone 8 den 18. marts 2022. Banken har fremlagt en udskrift fra sit system med teksten, der blev sendt til MitID -032 i forbindelse med godkendelsen af betalingen. Af teksten fremgik:

”Betal 10342,51 DKK til [betalingsmodtager H] fra kort [-234]”

Banken har anført, at transaktionen var korrekt registreret og bogført.

Klageren har oplyst, at han kl. 17:53 modtog SMS-beskeden fra banken, og at han først så SMS-beskeden efter kl. 18.

Klageren har anført, at han ikke har godkendt betalingen. Klageren gjorde indsigelse mod betalingen ved tro og love-erklæring af 2. juli 2024. Af denne fremgår blandt andet:

”…

Indsigelsesårsag / …

Jeg har ikke foretaget følgende transaktion(er). /…

Ikke-godkendte transaktioner / …

Købsdato / …

Forretningsnavn /…

Indsigelsesbeløb og valuta /…

30-06-2024

[betalingsmodtager H]

10.342,51 DKK

Kortet var i min besiddelse på tidspunktet for den eller de ikke-godkendte transaktiion(er): /…

[X] Ja/Yes        [  ] Nej/No

…”

Banken godtgjorde klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 2.342,51 DKK til klagerens konto.

Den 13. juli 2024 gjorde klageren indsigelse mod bankens afgørelse. Den 13. august 2024 fastholdt banken sin afgørelse.

Parternes påstande

Den 9. september 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal godtgøre ham sit fulde tab.

Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at sagen først startede, da han så SMS-beskeden fra banken efter kl. 18.

Der er ingen, der kan betvivle, at det ikke er ham, der har foretaget købet. Et køb hos et for ham ukendt firma, hvor varen er sendt til en anden adresse end hans.

Banken har oplyst, at købet var godkendt tre sekunder efter, det blev foretaget. Betalingen er godkendt i samme øjeblik, som købet er foretaget. Det er meget usandsynligt, at han skulle sidde klar tre sekunder efter, at købet var foretaget til at foretage en godkendelse med kodeord eller MitID. Betalingen blev godkendt fra en IP-adresse, der ikke tilhørte ham.

Han har ikke udleveret sine kortoplysninger til nogen. Han har ikke godkendt betalingen ved at swipe i sin MitID. Der er ikke belæg for at statuere groft uforsvarlig adfærd, når der ikke er viden om, hvornår og hvordan svindleren har stjålet hans kortoplysninger.

Banken har ikke et reelt ønske om at finde ud af, hvordan svindlen er foregået. Bankens juridiske afdeling behandlede sagen fra fredag eftermiddag til mandag morgen. Den har ikke udført en grundig undersøgelse. Banken gav ham en ensidig afgørelse, men det er også lettere for banken at konkludere, at det er kunden selv, der har begået fejlen. Banken har ikke forsøgt at kontakte betalingsmodtager H for at undersøge, hvem varen blev sendt til, så svindleren kunne findes og straffes.

Banken kunne ikke bekræfte, om købet skete ved brug af engangskode eller MitID. På betalingskort -234 godkendte han altid betalinger med kodeord. Det er ulogisk, at han skulle have godkendt en betaling af et beløb på 10.342,51 DKK til et ukendt firma med MitID uden at få tilsendt en vare. Han har ikke godkendt betalingen.

Han var ikke på internettet på købstidspunktet. Det er usandt, at forretningens navn og beløbet var synlige i MitID. Godkendelsen af betalingen skete kl. 17:53 og han så først SMS’en fra banken efter kl. 18. Han ved ikke, hvad der var synligt i hans MitID kl. 17:53, da han ikke åbnede MitID før kl. 18. MitID-teksten som banken har fremlagt, er ikke et bevis for noget som helst.

Han kan ikke acceptere bankens ensidige afgørelse og kan ikke acceptere, at han har handlet uhensigtsmæssigt, hvorfor banken skal godtgøre ham det fulde beløb.

Danske Bank har til støtte for frifindelsespåstanden anført, at kortbetalingen som klageren har gjort indsigelse imod, er korrekt registeret og bogført. Kortbetalingen er autoriseret med klagerens MitID og dermed godkendt med stærk kundeautentifikation. MitID -032 var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen. Det må på den baggrund lægges til grund, at klageren selv autoriserede betalingen, idet klageren formentlig ikke var klar over, at han godkendte betalingen ved at swipe i MitID.

Kortbetalingen blev alene iværksat fra en IP-adresse, der ikke tilhører klageren. Klageren har sandsynligvis været udsat for phishing og må i den forbindelse selv have videregivet sine kortoplysninger til tredjemand, der muliggjorde betalingsanmodningen. Det fremgik af godkendelsesteksten i klagerens MitID, at betalingsmodtageren var betalingsmodtager H, og at beløbet på 10.342,51 DKK ville blive trukket på klagerens betalingskort. Det måtte være klart for klageren, at han var ved at foretage en betaling på det pågældende beløb til en ukendt modtager.

Klageren befandt sig ikke i en presset situation i forbindelse med udleveringen af sine kortoplysninger og efterfølgende godkendelse af betalingen. Klageren har ved groft uforsvarlig adfærd muliggjort betalingen, hvorfor klageren hæfter med 8.000 DKK i henhold til betalingslovens § 100, stk. 4.

Banken havde ikke mulighed for at stoppe korttransaktionen, idet den ikke-vedkendte transaktion blev godkendt med MitID, hvorfor den ikke kunne tilbagekaldes i henhold til afsnit 3.1 i bankens regler for Visa Dankort. Det fremgår herudover af betalingsloven § 111, stk. 1, at banken ikke kan tilbagekalde en transaktion, efter at instruksen om transaktionen er modtaget af banken. Banken har ikke handlet ansvarspådragende.

Banken har til støtte for afvisningspåstanden anført, at klagerens påstand om, at han ikke har noget kendskab til betalingen, ikke hænger sammen med bankens oplysninger om, at klageren blev præsenteret for både beløbsmodtageren og beløbet i MitID, som var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen.

En vurdering af sagen derfor vil kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. vedtægternes § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Danske Bank, hvor han blandt andet havde en konto med et tilknyttet betalingskort -234.

Den 30. juni 2024 kl. 17:54 blev der gennemført en kortbetaling på 10.342,51 DKK med klagerens betalingskort -234 til en betalingsmodtager, betalingsmodtager H, som klageren ikke kan vedkende sig.

Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf blandt andet fremgår, at MitID -032 blev aktiveret 18. marts 2022.

Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -032, som blev aktiveret på klagerens iPhone 8 den 18. marts 2022. Banken har fremlagt en udskrift fra sit system med teksten, der blev sendt til MitID -032 i forbindelse med godkendelsen af betalingen. Af teksten fremgik: ”Betal 10342,51 DKK til [betalingsmodtager H] fra kort [-234]”

Klageren har anført, at han ikke har udleveret sine kortoplysninger til nogen. Han har ikke godkendt betalingen ved at swipe i sin MitID, og der er ikke belæg for at statuere groft uforsvarlig adfærd, når der ikke er viden om, hvornår og hvordan tredjemand har stjålet hans kortoplysninger.

Banken godtgjorde klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 2.342,51 til klagerens konto.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

 

 

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.