Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion. Aktivering/indrullering af MItID-app på svindlers enhed.

Sagsnummer:627/2023
Dato:15-10-2024
Ankenævn:Henrik Waaben, Bjarke L. Svejstrup, Karin Sønderbæk, Morten Bruun Pedersen og Jørgen Lanng
Klageemne:Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Ledetekst:Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion. Aktivering/indrullering af MItID-app på svindlers enhed.
Indklagede:Danske Andelskassers Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion. Aktivering/indrullering af MitID-app på svindlers enhed.

Sagens omstændigheder

Klageren var kunde i Danske Andelskassers Bank, hvor hun havde en konto med et tilknyttet betalingskort -608 og netbankadgang.

Den 2. august 2023 blev der foretaget en korttransaktion med klagerens betalingskort på 995 EUR svarende til 7.415,93 DKK til en udenlandsk betalingsmodtager, som klageren ikke kan vedkende sig.  

Banken har oplyst, at betalingen er foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i MitID-app.

Banken har fremlagt en e-mail fra Nets, hvoraf fremgår, at følgende tekst blev vist i klagerens MitID-app i forbindelse med betalingen:

”Betal 995,00 EUR til [betalingsmodtager] fra kort xx3608”

Banken har endvidere fremlagt en udskrift af klagerens MitID-portal, hvoraf blandt andet fremgår:

Type

Model

Aktiveret

Spærret

App (Android 12) A[-6964]

SM-A222F            [Samsung Galaxy A22]

15-11-2021  10:08:35

03-08-2023 09:23:38

Kodeviser           T[-6246]

 

 

02-08-2023 17:48:20

Adgangskode     P[-2893]

 

 

03-08-2023 11:30:19

App (Android 13) A[-1540]

SM-A225F            [Samsung Galaxy A22]

18-01-2022  20:59:37

03-08-2023 09:23:42

App (ios-12.5.7) A[-2795]

iPhone 6 Plus

02-08-2023   17:49:12

03-08-2023 09:21:50

Banken har desuden fremlagt en udskrift af klagerens MitID-hændelseslog, hvoraf blandt andet fremgår:

02-08-2023 17:48:32

Aktiveringskode – til MitID app valideret

Kritisk

MitID identifikationsmiddel-ID A[-2795]

02-08-2023 17:48:23

Aktiveringskode – til ny MitID app oprettet

Kritisk

MitID identifikationsmiddel-ID A[-2795]

02-08-2023 17:48:20

Kodeviser/kodeoplæser – permanent spærret

Kritisk

MitID identifikationsmiddel-ID T[-6246]

02-08-2023 17:48:07

Godkendelse – logget på med MitID

Information

 

02-08-2023 17:48:06

App – autentificering lykkedes

Information

MitID identifikationsmiddel-ID A[-1540]

02-08-2023 17:47:27

Godkendelse – indtastet bruger-ID

Information

 

02-08-2023 17:46:49

Oplysninger – MitID bruger tildelt adgang til at ændre oplysninger i MitID profil

Kritisk

 

02-08-2023 17:46:05

Godkendelse – indtastet bruger-ID

Information

 

02-08-2023 16:46:36

Oplysninger – MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil

Kritisk

 

02-08-2023 16:46:27

Godkendelse – logget på med MitID

Information

 

02-08-2023 16:46:26

App – autentificering lykkedes

Information

MitID identifikationsmiddel-ID A[-1540]

02-08-2023 16:43:45

Godkendelse – indtastet bruger-ID

Information

 

02-08-2023 16:42:16

Godkendelse – indtastet bruger-ID

 

 

Banken har oplyst, at transaktionen var korrekt bogført og ikke har været ramt af tekniske svigt eller andre fejl.

Den 4. august 2023 blev beløbet trukket fra klagerens konto, og hun gjorde herefter indsigelse mod transaktionen over for banken. Hun anførte blandt andet, at hun ikke havde foretaget transaktionen og:

”…

Blev kontakt af en person, som ville købe noget [på] Marketplace. Denne person eksistere ikke. Ville betale med sikker betaling over GLS. Jeg fik en mail fra "GLS" (troede jeg),hvor jeg skulle trykke på en bjælke og blev sendt videre og tjattede med en medarbejder fra "GLS" og kom igennem en hel masse. Skulle på et tidspunkt oplyse brugernavn til MitId, spurgte hvorfor, men det var normalt. Fik så en sms med nr jeg skulle indskrive, hvorefter mit MitId var spærret over en time, inden jeg kunne bruge det igen. Skrev videre med "GLS" og det endte med at de skrev det hele nu var verifiseret og jeg ville kontaktet af fragtmanden. I går morges gik jeg så på netbank og konstaterede at pengene ikke var gået ind. Havde på netbank fået beskred fra banken om, at jeg handlet i udlandet, men skulle kontakte dem, hvis det ikke var tilfældet og mit kort var spærret. Vedkommende havde oprettet 2 nye mobiler til min konto, været inde at flytte rundt på mine penge fra forskellige konti. Gik på GLS's hjemmeside, hvor jeg så kunne se, at der var en masse svindelmails i omløb. Kontaktede MitId og hotlines Identitetstyveri. Alle steder fik jeg at vide, at det sker dagligt. Var på Rådhuset for at få alt slettet på MitId og starte det op på nu. På Politigården for at melde. Her til morgen, var beløbet så trukket på min nemkonto, 7.400 kr. Derfor laver jeg nu en indsigelse, så jeg kan få mine penge igen.

 

Havde du kortet på købstidspunktet?

Do you have your card?

Ja, og det er kun mig, der har haft adgang til mit kort.

Er du på noget tidspunkt blevet kontaktet og bedt om at bekræfte/oplyse dit betalingskort eller dine personlige oplysninger?

Have you been contacted and asked to verify your card and personal information at any time?

Nej, jeg er ikke blevet kontaktet

…”

Banken har oplyst, at den ikke har adgang til oplysninger om processen vedrørende installation af MitID på anden enhed, ligesom den ikke kan redegøre for autentificering, ordlyd af godkendelsestekst i MitID-appen, ordlyd af SMS-beskeder eller oplysning om det telefonnummer, hvortil SMS’er blev tilsendt. Banken har heller ikke adgang til de SMS’er, der sendes i forbindelse med indrullering af MitID på anden enhed.

Klageren har oplyst, at hun anmeldte forholdet til politiet.

På et ikke oplyst tidspunkt meddelte banken klageren, at hun selv hæftede for 8.000 DKK.

Klageren klagede over bankens afgørelse, og ved brev af 5. juni 2023 svarede banken blandt andet:

”…

Vores tekniske oplysninger viser, at det er dit MitID der har godkendt overførslen til tredjemand. Transaktionen blev gennemført idet det blev godkendte det i MitID. Svindleren har enten fået adgang til dit MitID i det du oplyste dit brugernavn og sms-kode eller så har du godkendt en transaktion i MitID uden at være bevidst om teksten du blev præsenteret for i MitID appen. Nets har oplyst, at teksten der blev præsenteret i din MitID-app var ”Betal 995 EUR til [betalingsmodtager] fra kort xx3608”, hvilket blev godkendt.

Transaktionen bliver gennemført i det det bliver swipet godkend i Mit-ID. Andelskassen har således ikke mulighed for at forhindre overførslen selvom kortet bliver spærret straks. Transaktionerne kan først ses efter 1-2 dage i netbanken.

Vi finder derfor, at du har muliggjort anvendelsen af dine personlige oplysninger ved at udlevere dem til tredjemand og ikke har udvist den nødvendige agtpågivenhed ved at trykke på og benytte et tilsendt link fra en fremmede på en salgsside.

…”

Parternes påstande

Den 12. oktober 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Andelskassers Bank skal refundere 7.415,93 DKK til hende.

Danske Andelskassers Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun har været udsat for identitetstyveri.

Hun gennemførte ikke transaktionen, og hun anmeldte straks forholdet til politiet. Alligevel ville banken ikke stoppe transaktionen, hvilket hun ikke forstår.

Banken har ikke ydet den service, hun havde forventet af banken i situationen.

På intet tidspunkt nævnte banken for hende, at hun havde en selvrisiko på 8.000 DKK. Det var først, da hun modtog bankens afgørelse, at hun blev bekendt med det.

Hendes forsikringsselskab har oplyst, at banken kan omgå selvrisikoen, hvis man som hende har været kunde i banken i mange år. Hun har været kunde i banken i 18-20 år og har altid overholdt sine forpligtelser, herunder betalt sine afdrag på tidligere forbrugslån til tiden. Hun har således altid været en god og samvittighedsfuld kunde, hvilket banken burde honorere. 7.415,93 DKK er mange penge at miste for en lille kunde som hende.

Danske Andelskassers Bank har anført, at banken ikke var ramt af tekniske svigt eller andre fejl på transaktionstidspunktet, og at posteringen er korrekt registreret og bogført.

På et eller andet tidspunkt i processen, som klageren beskriver, må hun indledningsvis have indtastet sine kortoplysninger i forbindelse med købet på ”Marketplace”. Klageren nævner ikke noget om afgivelse af kortoplysninger. Herefter må der være sket følgende:

Klokken 16.42 loggede klageren på MitID og klokken 16.46 anmodede hun om ændring af oplysninger i MitId.dk. Herefter var MitID spærret i en time.

Klageren anfører, at hun udleverede sit brugernavn til den ukendte person. Som det fremgår, blev der logget på MitId.dk. Så enten loggede klageren selv ind, eller også oplyste klageren også sit kodeord til MitID – udover brugernavn – hvorved svindleren selv kunne oprette MitID på en anden enhed.

Klokken 17.46 blev der igen logget ind på MitID, efter at det var spærret i en time. To minutter senere blev kodeviser/kodeoplæser spærret, og der blev oprettet en aktiveringskode. Klokken 17.49 blev en ny MitID-app aktiveret på en anden enhed, en iPhone 6.

Det var herefter muligt at godkende transaktioner i den nye MitID-app på iPhone 6.

Klageren anfører, at hun fik en SMS med aktiveringskode før spærring af MitID, men det kan ikke passe, jf. ovenstående kronologi.

Klageren anfører tillige, at svindleren har oprettet MitID-app på to enheder. Det er ikke korrekt. Klagerens nuværende aktive MitID-identifikationsmiddel er på en Samsung telefon model SM-A225F. Den 15. november 2021 blev der aktiveret en MitID-app på samme telefonmodel, der blev spærret den 3. august 2023. Den 18. januar 2022 blev samme app aktiveret på ligeledes en Samsung SM-A225F, der blev spærret den 3. august 2023. Dette kunne tyde på, at klageren enten har fået en ny telefon af samme model, men nok snarere er der sket det, at klageren slettede appen og oprettede den igen på samme telefon i januar 2022.

Det er bankens opfattelse, hvilket til dels også fremgår af klagerens fremstilling, at der ikke kan ske oprettelse af MitID-app på en anden enhed, uden at eksisterende MitID har været pålogget og anvendt. En anvendelse af eksisterende MitID kan derfor kun ske ved, at klageren selv har været pålogget eller har overladt såvel MitID brugernavn og kodeord til svindleren. Klageren oplyser selv at have oplyst svindleren om de SMS-koder, som hun har modtaget i processen.

Under disse omstændigheder er det bankens opfattelse, at klageren har udvist grov uforsvarlig adfærd ved enten selv at have pålogget MitID, så der kunne oprettes Mit-ID på en anden enhed eller ved at oplyse MitID-brugernavn og -kode, så svindleren selv kunne gøre det. Klageren har ubestridt tillige oplyst svindleren de SMS-koder, som hun fik under processen, hvilket tillige må karakteriseres som grov uforsvarlig adfærd. Det skal i den sammenhæng anføres, at der undervejs i processen med, at der oprettes MitID på en anden enhed, kommer flere advarsler til brugeren om, hvad der er ved at ske. ”Karenstiden” på en time ved ændring af følsomme oplysninger i MitID er tillige indført som en sikkerhedsforanstaltning for at forhindre misbrug. Klageren har på denne vis flere gange optrådt groft uforsvarligt i processen med oprettelse af MitID på en anden enhed, og forholdet er derfor omfattet af bestemmelsen i betalingslovens § 100, stk. 4, nr. 3. Klageren hæfter derfor med op til 8.000 DKK.

Der synes at være stor usikkerhed om sagens faktum, og det kan ikke udelukkes, at klageren selv validerede købet og godkendte overførslen af beløbet til den ukendte modtager, til trods for teksten i MitID-appen. Ved at godkende overførslen optrådte klageren groft uagtsomt, jf. betalingslovens § 100, stk. 4, nr. 3, og klageren hæfter også i denne situation med op til 8.000 DKK, jf. betalingslovens § 100, stk. 4.

Sagens nærmere omstændigheder giver ikke anledning til at afvige fra betalingslovens bestemmelser om selvrisiko.

Ankenævnets bemærkninger

Klageren var kunde i Danske Andelskassers Bank, hvor hun havde en konto med et tilknyttet betalingskort -608 og netbankadgang.

Den 2. august 2023 blev der foretaget en korttransaktion med klagerens betalingskort på 995 EUR svarende til 7.415,93 DKK til en udenlandsk betalingsmodtager, som klageren ikke kan vedkende sig. 

Banken har fremlagt en udskrift af klagerens MitID-portal, hvoraf fremgår, at klageren havde tre aktive MitID-identifikationsmidler den 2. august 2023. Det ene identifikationsmiddel A-6964 blev aktiveret den 15. november 2021 på en Samsung Galaxy A22, det andet identifikationsmiddel A-1540 blev aktiveret den 18. januar 2022 på en Samsung Galaxy A22, og det tredje identifikationsmiddel A-2795 blev aktiveret den 2. august 2023 på en iPhone 6 Plus.

Banken har oplyst, at betalingen er foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i klagerens MitID-app, hvor følgende tekst blev vist: ”Betal 995,00 EUR til [betalingsmodtager] fra kort xx3608”.

I indsigelsesblanketten til banken oplyste klageren, at hun blev kontaktet af en person, der ville købe en vare, som hun havde til salg på Marketplace. Personen ønskede at betale via GLS, og hun modtog derfor en e-mail, angiveligt fra GLS, med et link, som hun trykkede på, hvorefter hun chattede med en person. Hun oplyste sit brugernavn til MitID til personen og ”indskrev” en kode, som hun fik tilsendt pr. SMS, hvorefter hendes MitID var spærret i over en time.

Banken har oplyst, at den ikke har adgang til oplysninger om processen vedrørende installation af MitID på anden enhed, ligesom banken ikke kan redegøre for autentificering, ordlyd af godkendelsestekst i MitID-appen, ordlyd af SMS-beskeder eller oplysning om det telefonnummer, hvortil SMS’er blev tilsendt. Banken har heller ikke adgang til de SMS’er, der sendes i forbindelse med indrullering af MitID på anden enhed.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Henrik Waaben, Bjarke L. Svejstrup og Karin Sønderbæk – udtaler:

Vi lægger efter klagerens egne oplysninger til grund, at klageren må have videregivet sine betalingskort- og MitID-oplysninger til tredjemand. Vi finder herefter, at det må lægges til grund, at klageren den 2. august 2023 har godkendt eller medvirket til aktiveringen af et nyt MitID-identifikationsmiddel på tredjemands enhed i sin MitID, hvorved en svindler har kunnet foretage den ikke-vedkendte transaktion.

Vi finder, at banken har godtgjort, at klageren derved ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. Klageren skal som følge heraf hæfte med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Jørgen Lanng - udtaler:

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have handlet som sket.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, der muliggør misbruget.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.040,93 DKK til klageren.

Der træffes afgørelse efter stemmeflertallet.

Klageren får herefter ikke medhold i klagen.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.