Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 DKK af korttransaktioner, der blev godkendt i MitID.

Sagsnummer: 610/2024
Dato: 12-05-2025
Ankenævn: Kristian Korfits Nielsen, Karin Sønderbæk, Karin Duerlund, Morten Bruun Pedersen og Martin Hare Hansen.
Klageemne: Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst: Indsigelse mod at hæfte for 8.000 DKK af korttransaktioner, der blev godkendt i MitID.
Indklagede: Sparekassen Danmark
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktioner, der blev godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Sparekassen Danmark, hvor han havde en konto med et tilknyttet betalingskort -234.

Den 13. august 2024 blev der gennemført to kortbetalinger på henholdsvis 1.329 EUR og 1.000 EUR svarende til 17.643,81 DKK med klagerens betalingskort -234 til to udenlandske betalingsmodtagere, betalingsmodtager A og B, som klageren ikke kan vedkende sig.

Transaktionerne blev bogført på klagerens konto den 15. august 2024.

Klageren har oplyst, at han ejer tre virksomheder, og at han som privatkunde i sparekassen betalte regninger for virksomhederne. Han modtog en e-mail med en opkrævning af et forholdsvist lille beløb til betaling af et domænenavn til en af sine virksomheder. E-mailen blev sendt til virksomhedens e-mailadresse. Han fattede ikke umiddelbart mistanke, særligt ikke, da han var i færd med at betale flere regninger for sine virksomheder. Da der ikke var tilknyttet et særskilt betalingskort til virksomheden, betalte han for domænenavnet med sit private betalingskort som udlæg. Han godkendte med MitID for at gennemføre betalingen. Han fik først mistanke til betalingen, da godkendelsen tilsyneladende ikke gik igennem. Han godkendte ikke kortbetalingerne på 1.329 EUR og 1.000 EUR.

Sparekassen har anført, at kortbetalingerne blev godkendt med stærk kundeautentifikation i klagerens MitID-app. Sparekassen har fremlagt en e-mail fra Nets med teksten, der blev sendt til klagerens MitID-app i forbindelse med godkendelsen af betalingerne, hvoraf fremgik:

”Betal 1329,00 EUR til [betalingsmodtager A] fra kort xx2234”

Og

”Betal 1000,00 EUR til [betalingsmodtager B] fra kort xx2234”

Sparekassen har endvidere oplyst, at kortbetalingerne er korrekt registrerede og bogført og ikke ramt af tekniske svigt eller andre fejl.

Ved tro- og loveerklæring af 20. august 2024 gjorde klageren indsigelse mod kortbetalingerne. Klageren skrev blandt andet, at han havde adgang til sit betalingskort på købstidspunktet, at det kun var ham, der havde haft adgang til kortet, at han ikke var blevet kontaktet og bedt om at oplyse/bekræfte sit betalingskort og:

”…

Jeg har ikke købt varer i henhold til disse beløb, men har været udsat for uautoriseret adgang til at hæve. Fik en mail til mit firma i indbakken [navn på virksomhed] om at der var skyldig beløb vedrørende domænenavnet. Forsøgte desværre at overføre det skyldig beløb fra min private lønkonto.

…”

Den 30. august 2024 godtgjorde sparekassen klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 9.643,81 DKK til klagerens konto.

Den 25. november 2024 indgav klageren en klage til sparekassen over sparekassens afgørelse af 30. august 2024. Den 9. december 2024 afviste sparekassen klagen.

Parternes påstande

Den 9. december 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Danmark skal nedsætte selvrisikoen på 8.000 DKK.

Sparekassen Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han er blevet svindlet.

Han har ikke godkendt de beskrevne transaktioner.

Han godkendte alene et ganske lille beløb, som svindleren angav at være til dækning for et domænenavn til en af hans virksomheder. Det var først efter denne godkendelse, at svindleren hævede på hans konto uden hans vidende.

Der hersker åbenbart ikke samme vilkår for danske pengeinstitutter. Hans mor, der er kunde hos et andet pengeinstitut, blev for nyligt svindlet ved, at hun blev kontaktet af en, der udgav sig for at være fra hendes pengeinstitut, og som formåede at få hende til at udlevere sit betalingskort og kode. Hendes pengeinstitut refunderede hende det svindlede beløb og beregnede sig kun en selvrisiko på 350 DKK. I hans tilfælde beregner sparekassen sig en selvrisiko på 8.000 DKK.

Sparekassen Danmark har anført, at den er ked af, at klageren har været udsat for svindel. Sparekassen har fuld forståelse for, at han har et ønske om at få inddækket hele tabet ved svindlen.

Betalingsloven fastsætter grænserne for sparekassens forpligtelser til at godtgøre kunder for visse betalinger. Som udgangspunkt hæfter sparekassen for tab som følge af uautoriserede betalinger, dvs. betalinger, som betaleren ikke har godkendt.

En betalingstransaktion er autoriseret, hvis betaleren har givet samtykke til at gennemføre transaktionen. ”Autorisere” forstås som at ”godkende”. Sparekassen er som betalingsudbyder forpligtet til at gennemføre en autoriseret betalingstransaktion.

Klageren har autoriseret betalingerne ved at swipe i sin MitID-app. Betalingerne er korrekt registrerede og bogført og ikke ramt af tekniske svigt eller andre fejl. Klagerens MitID er en personlig sikkerhedsforanstaltning og udgør en stærk kundeautentifikation.

Som udbyder af betalingstjenester hæfter sparekassen for tab som følge af andres uberettigede anvendelse af en betalingstjeneste. Har betaleren ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse, hæfter betaleren for 8.000 DKK af tabet, jf. betalingsloven § 100, stk. 4.

Forud for godkendelsen af hver betalingstransaktion blev klageren præsenteret for en tekst, hvoraf betalingsmodtager A og B, og beløb fremgik. Disse oplysninger burde klageren have reageret på. I stedet godkendte klageren betalingerne.

Klageren har ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse, hvorfor han skal hæfte for 8.000 DKK af tabet for den uberettigede anvendelse af sit kort.

Ankenævnets bemærkninger

Klageren var kunde i Sparekassen Danmark, hvor han havde en konto med et tilknyttet betalingskort -234.

Den 13. august 2024 blev der gennemført to kortbetalinger på henholdsvis 1.329 EUR og 1.000 EUR svarende til 17.643,81 DKK med klagerens betalingskort -234 til to udenlandske betalingsmodtagere, betalingsmodtager A og B, som klageren ikke kan vedkende sig.

Sparekassen har anført, at kortbetalingerne blev godkendt med stærk kundeautentifikation i klagerens MitID-app. Sparekassen har fremlagt en e-mail fra Nets med teksterne, der blev sendt til klagerens MitID-app i forbindelse med godkendelsen af betalingerne. Af teksterne fremgik: ”Betal 1329,00 EUR til [betalingsmodtager A] fra kort xx2234” og ”Betal 1000,00 EUR til [betalingsmodtager B] fra kort xx2234”.

Klageren har oplyst, at han modtog en e-mail til en af sine virksomheder, hvor han blev opkrævet betaling for virksomhedens domænenavn. Han gennemførte betalingen med sit private betalingskort på vegne af virksomheden, og han godkendte med sit MitID. Han fik først mistanke til betalingen, da godkendelsen tilsyneladende ikke gik igennem. Han godkendte ikke kortbetalingerne på 1.329 EUR og 1.000 EUR.

Den 30. august 2024 godtgjorde sparekassen klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 9.643,81 DKK til klagerens konto.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Kristian Korfits Nielsen, Karin Sønderbæk og Karin Duerlund – udtaler:

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingerne på henholdsvis 1.329 EUR og 1.000 EUR med sit MitID.

Vi finder, at sparekassen har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID, hvor han fik oplysninger om beløbene på 1.329 EUR og 1.000 EUR samt beløbsmodtagerne A og B, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Martin Hare Hansen – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionerne.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at sparekassen har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at sparekassen er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, sparekassen skal tilbageføre 7.625 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.