Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagsnummer:265/2024
Dato:17-01-2025
Ankenævn:Kristian Korfits Nielsen, Jimmy Bak, Karin Sønderbæk, Tina Thygesen og Kim Korup Eriksen
Klageemne:Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Indklagede:Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor han blandt andet havde en konto med et tilknyttet betalingskort -7496.

Klageren har oplyst, at hans betalingskort er blevet misbrugt. Han har hverken foretaget et køb eller modtaget en kvittering for et køb. Han har heller ikke modtaget nogle varer eller lignende.

Den 22. november 2023 blev der gennemført en kortbetaling på 2.178,90 EUR svarende til 16.249,78 DKK med klagerens betalingskort -7496 til en udenlandsk betalingsmodtager, I, som klageren ikke kan vedkende sig.

Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -9259, som var installeret på klagerens mobiltelefon den 3. maj 2022. Banken har fremlagt en udskrift fra sit system med teksten, der blev sendt til MitID-app i forbindelse med godkendelse af betalingen. Af teksten fremgik:

”Betal 2178,90 EUR til [betalingsmodtager I] fra kort xx7496”

Banken har oplyst, at transaktionen var korrekt registreret og bogført.

Klageren gjorde indsigelse mod betalingen ved tro og love-erklæring af 25. november 2023. Af denne fremgår blandt andet:

”Jeg, ..., attesterer herved, at jeg ikke har godkendt eller deltaget i ovennævnte transaktion. …”

Banken godtgjorde klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 8.249,78 DKK til klagerens konto.

Klageren gjorde indsigelse mod bankens afgørelse. Han oplyste i den forbindelse, at han havde været udsat for stort set det samme i 2022, og at banken dengang dækkede hele hans tab.

Den 12. januar 2024 fastholdt banken sin afgørelse.

Banken har i forbindelse med sagens behandling ved Ankenævnet oplyst, at det beroede på en fejl, at klageren i forbindelse med sin tidligere indsigelsessag kun hæftede for 375 kr.

Parternes påstande

Den 2. maj 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal godtgøre ham 8.000 DKK.

Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hans betalingskort er blevet misbrugt. Han har haft en længere korrespondance med Danske Banks bedrageriafdeling om betalingsmisbruget, men han har ikke fået en tilfredsstillende forklaring på, hvordan misbruget kunne ske.

Der er helt åbenlyst tale om en fejl eller svindel, men han forstår ikke, hvordan fejlen er opstået, eller svindlen begået.

Han er bekendt med, at transaktionen blev gennemført ved brug af MitID, men han har ikke foretaget et køb. Han har heller ikke som ved sædvanlig handel via internettet modtaget kvittering for et køb eller modtaget nogle varer.

Der er med hans betalingskort foretaget et fiktivt køb eller lignende af en vare eller en ydelse i Frankrig, men han har ikke godkendt transaktionen ved anvendelse af sine kortoplysninger eller sit MitID.

Banken skal give ham en forklaring, så misbruget ikke kan ske igen. Han må kunne få oplyst, om hans oplysninger er blevet hacket, og om transaktionen på en eller anden måde blev godkendt af hackerne via MitID, da hverken beløb eller forretningsnavn på noget tidspunkt har været synligt i hans MitID-app.

Han har fundet en hjemmeside på betalingsmodtager, I, og klaget over den oplagte fejl. Han har bedt om, at transaktionen bliver tilbageført, men han har endnu ikke hørt fra dem. Han kan i forbindelse med klagen få brug for at dokumentere fejlen med kontonummer, dato, tidspunkt og beløb.

Banken skal have styr på sine transaktioner til udlandet og skal kunne redegøre for, hvilket kontonummer og hvilken virksomhed, der har modtaget beløbet og på hvilket tidspunkt. Banken har ikke ført tilstrækkelig kontrol med transaktionen, hvis den ikke kan identificere betalingsmodtageren, da der i modsat fald er en uacceptabel stor brist i sikkerheden ved anvendelse af MitID.

 

 

Han blev udsat for stort set det samme i 2022, men dengang godtgjorde banken ham hele beløbet. Det er på ingen måde betryggende, at banken behandler sagen anderledes denne gang. Banken skal oplyse, om hans MitID tidligere er kompromitteret.

Danske Bank har til støtte for frifindelsespåstanden anført, at der blev gennemført en betalingstransaktion på 16.249,78 DKK ved brug af klagerens betalingskort. Betalingen blev godkendt ved brug af stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30, da betalingstransaktionen blev godkendt ved brug af klagerens MitID-oplysninger, jf. betalingslovens § 7, nr. 31.

Den omstridte betaling var korrekt gennemført og ikke ramt af tekniske svigt eller andre fejl i medfør af betalingslovens § 98, stk. 1.

Banken er helt grundlæggende forpligtet til at gennemføre en betalingstransaktion, hvis den er autoriseret af klageren. Sagen beror derfor på, hvorvidt der er tale om en uautoriseret betalingstransaktion, eller hvorvidt betalingen er foretaget af klageren selv eller med klagerens samtykke.

Det følger af betalingslovens § 82, stk. 1, at en autoriseret betalingstransaktion er kendetegnet ved, at betaleren har godkendt og givet samtykke til gennemførelse af betalingstransaktionen. Et samtykke meddeles i den form, der er aftalt mellem klageren og banken, og i den konkrete sag vil klagerens godkendelse af betalingstransaktionen foreligge i form af indtastning af kortoplysninger kombineret med klagerens MitID-oplysninger. Klageren har oplyst, at han hele tiden har haft sit betalingskort samt sin personlige sikkerhedsforanstaltning i form af sit MitID-brugernavn og sin MitID-adgangskode i sin besiddelse.

Klageren blev i forbindelse med initiering af betalingstransaktionen forud for godkendelsen præsenteret for en tekst, hvor den registrerede betalingsmodtager samt det omtvistede beløb fremgik. Klageren godkendte herefter betalingstransaktionen ved brug af klagerens MitID-oplysninger ud fra de faktuelle forhold i sagen.

Klageren har således ikke løftet bevisbyrden for, at der var tale om en betaling, som ikke er foretaget af klageren med hans samtykke.

Klageren har ud fra sagens konkrete omstændigheder formentlig været udsat for phishing, hvorfor klageren derfor kun bør hæfte for 8.000 DKK i overensstemmelse med pkt. 11 i kortbestemmelserne samt den nuværende praksis ved Ankenævnet, herunder Ankenævnets afgørelse i sagsnr. 413/2023.

Klagerens krav baserer sig udelukkende på skuffede forventninger og udgør ikke et erstatningsberettiget tab.

Banken har til støtte for afvisningspåstanden anført, at klageren ikke mener, at han har kendskab til eller har foretaget den omtvistede betaling.  

Klagerens opfattelse stemmer ikke overens med de faktiske systembaserede oplysninger, som banken har fremlagt i forbindelse med klagesagens behandling. En yderligere afklaring af sagens hændelsesforløb vil derfor kræve yderligere bevisførelse i form af vidne- og/eller partsforklaringer og/eller sagkyndig bevisførelse, hvorfor Ankenævnet derfor subsidiært bør afvise sagen med henvisning til vedtægternes § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Danske Bank, hvor han blandt andet havde en konto med et tilknyttet betalingskort -7496.

Klageren har oplyst, at hans betalingskort er blevet misbrugt. Han har efter, at han konstaterede misbruget, haft en længere korrespondance med Danske Banks bedrageriafdeling om betalingsmisbruget. Han har hverken foretaget et køb eller modtaget en kvittering for et køb. Han har heller ikke modtaget nogle varer eller lignende.

Den 22. november 2023 blev der gennemført en kortbetaling på 2.178,90 EUR svarende til 16.249,78 DKK med klagerens betalingskort -7496 til en udenlandsk betalingsmodtager, I, som klageren ikke kan vedkende sig.

Banken har anført, at kortbetalingen den 22. november 2023 blev godkendt med stærk kundeautentifikation i klagerens MitID -9259, som var installeret på klagerens mobiltelefon den 3. maj 2022, og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 2178,90 EUR til [betalingsmodtager I] fra kort xx7496”.

Klageren har anført, at hverken beløb eller forretningsnavn på noget tidspunkt har været synligt i hans MitID-app.

Banken godtgjorde klagerens tab med fradrag af 8.000 DKK.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.