Indsigelse mod at hæfte for op 8.000 DKK af korttransaktion. Aktivering/indrullering af MitID-app på svindlers enhed.
| Sagsnummer: | 501/2023 |
| Dato: | 31-05-2024 |
| Ankenævn: | Helle Korsgaard Lund-Andersen, Inge Kramer, Andreas Moll Årsnes, Rolf Høymann Olsen og Jørn Ravn. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for op 8.000 DKK af korttransaktion. Aktivering/indrullering af MitID-app på svindlers enhed. |
| Indklagede: | Jyske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion.
Sagens omstændigheder
Klageren var kunde i Jyske Bank, hvor hun havde et Visa/dankort -7625 og et Visa Debit kort -0800.
Den 20. februar 2023 kl. 23.44 blev der foretaget en korttransaktion med klagerens Visa/dankort på 6.982,50 DKK til en kryptovalutavirksomhed C, som klageren ikke kan vedkende sig. Transaktionen blev bogført på klagerens konto den 23. februar 2023.
Den 21. februar 2023 blev der foretaget to korttransaktioner med klagerens Visa Debit kort på henholdsvis 102.000 AMD (Armenske dram) (svarende til 1.834,85 DKK) og 100 AMD (svarende til 1,80 DKK) til en betalingsmodtager T, som klageren ikke kan vedkende sig. Transaktionerne blev bogført på klagerens konto den 23. februar 2023. Banken har under klagesagen pr. kulance godtgjort klageren for disse to korttransaktioner.
Banken har oplyst, at betalingerne blev godkendt i klagerens MitID-app med serienummer -3287, som var installeret den 20. februar 2023 kl. 21.58, og at betalingerne var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.
Klageren gjorde indsigelse mod transaktionerne over for banken den 27. februar 2023. I indsigelsesblanketten anførte klageren blandt andet:
”… I forbindelse med salg af en gammel telefon via DBA blev jeg kontaktet af en person ved navn […] fra Horsens, som gerne ville købe telefonen. Vedkommende skrev på fejlfrit dansk og var meget tillidsvækkende ifht. at sige at han lige skulle have hjælp fra sin søn, spurgte ind til telefonens stand etc., da han boede for langt væk og derfor ikke selv kunne hente og købe telefonen. Derfor ville jeg naturligvis gerne sende telefonen som han ville købe, i den forbindelse sendte han mig et link til DAO som han sagde kunne afhente telefonen hos mig og derefter levere den til ham i Horsens fra min adresse i Lyngby. Han sagde, at penge for telefon og fragt ville blive overført via det DAO link han havde sendt mig. Jeg gik via linket, og chattede med deres kundeservice som virkede meget reelt og ægte. Dette har jo så vist sig ikke at være deres kundeservice, men dem der ville frarøve mig mine oplysninger. Herefter indtastede jeg kort oplysninger samt godkendte via MitlD. Næste morgen så jeg så at der havde været underlig aktivitet på min netbank, og der var reserveret 102.000 AMD (Armensk valuta). Så jeg ringede med det samme til Jyske Bank kundeservice som lukkede begge mine kort, min netbank samt MitlD. Desværre var skaden sket og et par dage senere har de trukket knap 9.000 DKK fra to forskellige konti hhv. total konto og fælles budget konto. …”
Klageren vedlagde skærmprint fra sin korrespondance med svindleren, og hvad hun troede var DAO’s kundeservice den 20. februar 2023. Af korrespondancen fremgik blandt andet:
Kl. 20.12 – besked fra svindleren:
”Min søn har arrangeret leveringen, du skal nu bekræfte leveringen, give kontaktoplysninger, og få pengene online.
Den vil derefter blive bekræftet og leveret. Sørg for at kontrollere alt. Min søn sagde, at de efter betalingen selv vil kontakte dig for at hente varerne hos dig og give dem til mig
https://dao-dk.fastlevering.com/ 219440806”
Kl. 20.35 og 20.46 – beskeder fra klageren:
”Nej, det virkede ikke - men hvis du overfører via MobilePay og sender oplysninger som vist herover - så kan jeg sende til sig. Det bliver 341 kr og mit nr er …”
”Mit MitlD blokerer for overførslen, jeg ved ikke hvorfor. Du kan anmode om fragt via annoncen på DBA eller sende via MobilePay”
Kl. 20.47 – besked fra ”DAO’s kundeservice”:
”Support Chat
Hej, mit navn er …. Jeg er en teknisk supportmedarbejder, og du kan stille mig dine spørgsmål. Vi er nu tvunget til at foretage en MitlD-kontrol på grund af den generelle EU lovgivning. Du kan vende tilbage til webstedet om en time og prøve igen Bare rolig, det er en standardprocedure for alle, der bruger DAO for første gang. Vi skal gøre transaktionen mellem dig og køberen sikker”
Kl. 20.52 – besked fra svindleren:
”Prøv det, når der går en time ved dit første forsøg. Måske har du fået denne besked tidligere, men ikke bemærket det, jeg havde det samme”
Klageren anmeldte endvidere sagen til politiet.
Banken har fremlagt en udskrift fra klagerens MitID log. Det fremgår heraf, at der den 20. februar 2023 på klagerens MitID var registreret en MitID-app -8681 (aktiveret den 9. august 2022 og spærret den 21. februar 2023 kl. 9.34) og en MitID-app -3287 (aktiveret den 20. februar 2023 og spærret den 21. februar 2023 kl. 9.34). Der fremgår endvidere blandt andet følgende aktiviteter den 20. februar 2023:
|
Tidspunkt |
Hændelse |
Alvorlighedsgrad |
|
21.58
|
App – ny MitID app aktiveret … MitID identifikationsmiddel-ID …[-3287] … |
Kritisk |
|
21.58 |
Midlertidig PIN-kode - til MitID app valideret |
Information |
|
21.55 |
Midlertidig PIN-kode – til MitID app sendt på SMS |
Information |
|
21.55 |
Aktiveringskode – til MitID app valideret |
Kritisk |
|
21.55 |
Aktiveringskode – til ny MitID app oprettet |
Kritisk |
|
21.55 |
Oplysninger – ændret for MitID bruger |
Kritisk |
|
21.55 |
Godkendelse – logget på med MitID |
Information |
|
21.55 |
App – autentificering lykkedes MitID identifikationsmiddel-ID …[-8681] … |
Information |
|
21.55 |
Godkendelse – indtastet bruger-ID |
Information |
|
21.29 |
Oplysninger – MitID bruger tildelt adgang til at ændre oplysninger i MitID profil |
Kritisk |
|
20.29 |
App – autentificering lykkedes |
Information |
|
20.29 |
Oplysninger – MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil |
Kritisk |
|
20.28 |
Godkendelse – logget på med MitID |
Information |
|
20.28 |
App – autentificering lykkedes MitID identifikationsmiddel-ID …[-8681] … |
Information |
|
20.28 |
Godkendelse – indtastet bruger-ID |
Information |
Banken har supplerende oplyst, at forløbet i forbindelse med ændringerne i MitID var som følger:
Før man får adgang til at ændre følsomme oplysninger, herunder oprettelse af en ny MitID-app, skal der logges på brugerprofilen (første pålogning) og anmodes om adgang til at ændre oplysninger og logges af igen. I forbindelse med godkendelsen af første pålogning til brugerprofilen blev klageren i sin eksisterende MitID-app -8681 præsenteret for teksten:
” Log på hos MitID.dk for at se eller ændre i din MitID profil”.
Klageren fik samtidig i MitID-appen oplyst følgende tekst:
”Godkendt
Godkendt, fortsæt til MitID.dk”
Af sikkerhedsmæssige årsager skal der gå mindst en time, før man kan logge på brugerprofilen igen (anden pålogning) og få adgang til at oprette et nyt identifikationsmiddel. I forbindelse med godkendelsen af anden pålogning til brugerprofilen blev klageren i sin eksisterende MitID-app -8681 igen præsenteret for teksten:
”Godkend følgende?
Log på hos MitID.dk for at se eller ændre i din MitID profil”.
Klageren fik samtidig i MitID-appen oplyst følgende tekst:
”Godkendt
Godkendt, fortsæt til MitID.dk”
Ved kritiske hændelser sendes der altid en besked (SMS-besked eller e-mail) til kontaktoplysninger tilknyttet brugerprofilen. Hændelserne i MitID-loggen kl. 20.29 ”MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil” og kl. 21.29 ”MitID bruger tildelt adgang til at ændre oplysninger i MitID profil” var kritiske hændelser. Der blev i den forbindelse sendt SMS’er henholdsvis om, at der var givet adgang til at ændre oplysninger en time senere, og at det nu var muligt at logge på brugerprofilen og ændre oplysninger de næste 24 timer. Modtageren blev samtidig oplyst om at kontakte MitID, hvis modtageren ikke havde bedt om adgangen.
Desuden kræver installering af MitID, at der anvendes en aktiveringskode, som genereres på brugerprofilen i forbindelse med oprettelsen af den nye MitID-app. Derudover fremsendes der i forbindelse med aktiveringen af den nye MitID-app en midlertidig pinkode enten via SMS-besked eller e-mail til de oplysninger, der fremgår af brugerprofilen. Der blev forud for installation af den nye MitID-app -3287 sendt en midlertidig kode på SMS. Af SMS’en fremgik:
” Midlertidig PIN-kode til MitlD app: […]
VIGTIGT: Del aldrig denne kode med andre. Heller ikke med en, som påstår at komme fra banken eller supporten.”
Der blev derefter sendt en SMS med oplysning om, at den nye MitID-app var aktiveret og besked om at kontakte MitID, hvis modtageren ikke havde bedt om adgangen.
Klageren har anført, at hun ikke modtog de af banken omtalte SMS’er, og at hendes telefonnummer hos MitID var blevet ændret. Banken har anført, at klagerens telefonnummer hos MitID først blevet ændret den 21. februar 2023 kl. 02.48. Banken har fremlagt en udskrift fra klagerens MitID-log, hvoraf der fremgår følgende aktiviteter den 21. februar 2023:
|
Tidspunkt |
Hændelse |
Alvorlighedsgrad |
|
02.48 |
Oplysninger – sprog ændret for MitID bruger |
Information |
|
02.48 |
Oplysninger – ændret for MitID bruger |
Kritisk |
|
02.48 |
Oplysninger – mobilnummer tilknyttet MitID bruger |
Information |
|
02.48 |
Oplysninger – ændret for MitID bruger |
Kritisk |
Parternes påstande
Den 16. august 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal dække hendes tab fuldt ud.
Jyske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at hun blev svindlet i forbindelse med phishing. Hun har helt klart ikke udvist groft uforsvarlig adfærd, men er blevet udsat for et meget veludført, avanceret og svært gennemskueligt svindelnummer. Banken har ikke bevist, at hun har udvist groft uforsvarlig adfærd.
Hun udleverede/sendte ikke kode eller andet til svindleren, men var inde på, hvad hun troede var en DAO side, hvor hun skulle sende den vare, hun havde solgt.
Svindleren skrev på fejlfrit dansk og var meget tillidsvækkende. Han stillede relevante spørgsmål, som en “almindelig” køber ville stille. Han oplyste, at han boede langt væk og derfor ikke selv kunne hente telefonen. Derfor ville hun naturligvis gerne sende telefonen. Han skrev, at han lige skulle have fat i søn for at få hjælp til at finde ud, hvordan telefonen kunne blive sendt til ham. Dette var med til at skabe tillid, da hun tænkte, at han var en sød og uskyldig ældre mand, der havde brug for hjælp.
Lidt efter skrev han, at han havde fået fat i sin søn og sendte hende i den forbindelse et link til DAO. Han oplyste, at DAO kunne afhente telefonen hos hende og derefter levere den til ham. Pengene for telefon og fragt ville blive overført via det DAO link, han havde sendt hende. Hun gik ind via linket. Hun chattede med kundeservice, som virkede meget reel og ægte, og som skrev fra ”dao-dk.fastlevering.com”. Kundeservice forsikrede hende om, at det var af sikkerhedsmæssige årsager, at hun skulle igennem MitID tjek. Hun sendte ikke pinkode eller andet, men var kun inde på denne “DAO” svindel-side og MitID.
Hjemmesiden lignede fuldstændig DAO’s, og hun troede, at der sad en kundeservicemedarbejder og skrev med hende. Personen fra "kundeservice" var tillidvækkende og forsikrede hende om, at alle procedurer var sat op med brugerens sikkerhed for øje, som det fremgår i billedet af chatten. Personen fra "kundeservice" skabte igen tillid ved at skrive, at DAO gik op i sikkerhed, og at man derfor skulle bruge MitID verificering, hvilket hun stolede på.
Herefter indtastede hun kortoplysninger samt godkendte via MitID. Hun har hverken delt/sendt koder eller oplysninger via SMS eller e-mail.
Hun fik bekræftet, at hendes telefonnummer på MitID var ændret til et nummer i Indonesien, da hun oprettede et nyt MitID. Hun har således ikke modtaget de SMS’er, som banken henviser til i sagen.
Bedragerne har svindlet sig adgang til hendes MitID via den falske DAO hjemmeside og med overbevisende “kundeservice” beskeder. Herefter kunne de få adgang til at ændre hendes telefonnummer på hendes MitID og få adgang til hendes konti og stjæle hendes penge, uden at hun bemærkede det.
Svindleren overtog hendes MitID via en hjemmeside, som så meget ægte og fuldstændig legitim ud. Svindleren ændrede hendes telefonnummer til sit eget telefonnummer i hendes MitID, hvorefter svindleren kunne få adgang til hendes netbank og frarøve hende penge fra to af hendes konti.
Næste morgen så hun, at der havde været underlig aktivitet på hendes netbank, og at der var reserveret 102.000 AMD. Hun ringede med det samme til Jyske Bank, som lukkede begge hendes kort, hendes netbank samt hendes MitID. Desværre var skaden sket.
Af en eller anden årsag kunne banken ikke tilbageføre de beløb, som svindleren havde reserveret. Banken oplyste, at den ikke må lade være med at udbetale reserverede beløb, også selvom der var tale om svindel, hvilket hun ikke forstår.
Jyske Bank har til støtte for frifindelsespåstanden anført, at det i det følgende lægges til grund, at den i sagen omhandlede betaling er uautoriseret, da den er gennemført uden klagerens samtykke, men på baggrund af klagerens kortoplysninger og i en MitID-app på tredjemands (svindlerens) enhed, som klageren selv har muliggjort oprettelsen af. Klageren hæfter med op til 8.000 DKK af tabet, da klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Ved oprettelse af MitID på svindlerens enhed og ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Klageren forventede, at hun skulle bekræfte modtagelsen af en betaling. Klageren blev, umiddelbart inden hun om aftenen den 20. februar 2023 første gang ”swipede” godkend i sin MitID-app -8681, og igen, da hun efter ca. en time den 20. februar 2023 om aftenen, ”swipede” godkend præsenteret for teksten i MitID-appen: ”Godkend følgende? Log på hos MitID.dk for at se eller ændre i din MitID profil”. Klageren burde dermed have indset, at hun var ved at give adgang til sin MitID brugerprofil til en svindler, og at hun ikke var i færd med at godkende modtagelsen af en betaling. Hvis klageren havde læst teksterne, inden hun godkendte handlingerne, burde hun være blevet opmærksom herpå.
Klageren modtog desuden flere beskeder fra MitID, hvor hun blev advaret/gjort opmærksom på, at der blev foretaget kritiske handlinger på hendes brugerprofil. Dette burde have skærpet klagerens opmærksomhed yderligere og givet hende anledning til at kontakte enten banken eller MitID. Klageren foreslog andre forsendelsesmetoder, men køberen insisterede på, at de fremsendte links skulle virke, hvilket ligeledes burde have skærpet klagerens opmærksomhed. Hændelsesforløbet burde have givet klageren anledning til mistanke og til at undersøge sagen nærmere, og herunder kontakte det ”rigtige” DAO. Ændringen af klagerens telefonnummer i MitID skete den 21. februar 2023 kl. 02.48 og dermed efter godkendelse af betalingen.
Ved at udlevere sine kortoplysninger, ved to gange med over en times mellemrum at godkende, at der kunne foretages ændring af oplysninger på klagerens MitID profil samt ved ikke at have udvist skærpet opmærksomhed ved de ovennævnte forhold, har klageren ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse.
For så vidt angår tilbageførsel af reserverede beløb følger det af betalingslovens § 111, stk. 1, at en betalingsordre ikke kan tilbagekaldes efter, at den er modtaget af betalerens udbyder. Betalingsordren blev modtaget på det tidspunkt, hvor betalingen blev godkendt i den nyoprettede MitID. Fra dette tidspunkt var banken ikke berettiget til at tilbageføre betalingen. Dette gælder uanset, at betalingen i første omgang alene blev reserveret og først blev betalt fra klagerens konto på et senere tidspunkt.
Jyske Bank har til støtte for afvisningspåstanden anført, at der foreligger en sådan usikkerhed om det i sagen passerede, at en afgørelse heraf forudsætter en bevisvurdering i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Jyske Bank, hvor hun havde et Visa/dankort og et Visa Debit kort.
Den 20. februar 2023 kl. 23.44 blev der foretaget en korttransaktion med klagerens Visa/dankort på 6.982,50 DKK til en kryptovalutavirksomhed, C, som klageren ikke kan vedkende sig. Transaktionen blev bogført på klageren konto den 23. februar 2023. Den 21. februar 2023 blev der foretaget to korttransaktioner med klagerens Visa Debit kort på henholdsvis 102.000 AMD (Armenske dram) (svarende til 1.834,85 DKK) og 100 AMD (svarende til 1,80 DKK) til en betalingsmodtager T, som klageren ikke kan vedkende sig. Banken har under klagesagen pr. kulance godtgjort klageren for fuldt ud for disse to korttransaktioner foretaget med Visa Debit kort.
Sagen angår herefter betalingen på 6.982,50 DKK foretaget med klagerens Visa/dankort.
Klageren har anført, at hun fik et link, som ledte hende til en hjemmeside, som hun troede var DAO’s. Her indtastede hun sine kortoplysninger og godkendte via MitID for få betaling for en vare, som hun havde til salg. Hun udleverede eller sendte ikke kode eller andet til svindleren. Hendes telefonnummer på MitID var ændret af svindleren. Hun har således ikke modtaget de SMS’er, som banken henviser til i sagen
Banken har anført, at klageren selv udleverede sine kortoplysninger og selv har tildelt adgang til at ændre i hendes MitID-profil. Klageren har ikke kunnet være i tvivl om, at nogen forsøgte at ændre i hendes MitID, og klageren havde rig lejlighed til at reagere herpå. Klagerens telefonnummer på MitID blev først ændret efter, at den i sagen omhandlede betaling blev foretaget. Klageren har udvist groft uforsvarlig adfærd, hvorfor hun selv hæfter med op til 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.
Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter at transaktionen var godkendt, uanset tidspunktet for den efterfølgende spærring af kortet og debitering af beløbet på klagerens konto.
Ankenævnet lægger til grund, at betalingstransaktionen var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).
Tre medlemmer – Helle Korsgaard Lund-Andersen, Inge Kramer og Andreas Moll Årsnes – udtaler:
Vi finder, at det må lægges til grund, at klageren har videregivet sine betalingskort- og MitID-oplysninger til tredjemand, og at klageren den 20. februar 2023 har godkendt aktiveringen af en ny MitID-app på tredjemands enhed i sin MitID-app, hvorved en svindler har kunnet foretage den omtvistede betaling.
Vi finder, at banken har godtgjort, at klageren derved ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. Klageren skal som følge heraf hæfte med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Rolf Høymann Olsen og Jørn Ravn – udtaler:
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have handlet som sket.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, der muliggør misbruget.
Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 6.607,50 DKK til klageren.
Der træffes afgørelse efter stemmeflertallet.
Da banken under klagesagen pr. kulance har godtgjort klageren fuldt ud for de to transaktioner foretaget med Visa Debit kort, får klageren klagegebyret tilbage.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.
Klageren får klagegebyret tilbage.