Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i MitID-app.

Sagsnummer: 563/2023
Dato: 18-04-2024
Ankenævn: Helle Korsgaard Lund-Andersen, Morten Winther Christensen, Janni Visted Hansen, Rolf Høymann Olsen og Kim Korup Eriksen.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i MitID-app.
Indklagede: Jyske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion godkendt i MitID-app.

Sagens omstændigheder

Klageren var kunde i Jyske Bank, hvor hun havde en konto med et tilknyttet Visa/dankort.

Den 3. juli 2023 blev der med klagerens betalingskort foretaget en betaling på 1.070,90 EUR svarende til 8.055,78 DKK til en betalingsmodtager, F, som klageren ikke kan vedkende sig.

Om baggrunden for betalingen har klageren oplyst, at hun den 26. maj 2023 ved henvendelse i en fysisk YouSee-butik havde indgået en aftale med YouSee om, at hendes ægtefælles abonnement skulle flyttes til hende, således at hun fremover skulle stå for betalingen. I den forbindelse fik hun oplyst af en YouSee medarbejder, at hun og hendes ægtefælle ville modtage en refusion for det gamle abonnement.

Den 3. juli 2023 modtog klageren en mail, der fremstod som om, at den kom fra Mit- YouSee. Af mailen fremgik blandt andet:

Tilbagebetale faktura nummer

Efter den endelige beregning af din regning har vi fastslået, at du er berettiget til at få refunderet DKK 957,00

(Dit filnummer: 0015)

For at bekræfte din refusion:

[link]”

Klageren har oplyst, at hun klikkede på linket og blev ført til en kortbetalingshjemmeside. Her oplyste hun sit kortnummer på sit dankort. Herefter blev hun ført videre til MitID godkendelse, hvor hun godkendte i troen på, at refusionen fra YouSee ville blive overført til hendes bankkonto, netop som den ansatte i YouSee forretningen havde forklaret hende.

Banken har oplyst, at betalingen blev gennemført med sikkerhedsløsningen 3D Secure ved godkendelse med klagerens MitID.

 

Banken har endvidere oplyst, at klageren i forbindelse med godkendelse i sin MitID-app blev præsenteret for beløb og beløbsmodtager, og har fremlagt en udskrift fra Nets, hvoraf fremgår, at følgende tekst blev vist i klagerens MitID-app i forbindelse med betalingen:

”Betal 1070,90 EUR til [F] fra kort xx1555”

Banken har fremlagt en MitID-hændelseslog, hvoraf det fremgår, at betalingen blev godkendt den 3. juli 2023 kl. 14:13 i MitID-app med MitID identifikationsmiddel-ID -9865.

Det fremgår endvidere, at MitID identifikationsmiddel-ID -9865, der blev benyttet til godkendelse af betalingen, blev oprettet/installeret på en iOS-enhed (iPhone) den 3. december 2021. Banken har oplyst, at den har lagt til grund, at det er klagerens Mit- ID-app.

Klageren gjorde den 6. juli 2023 indsigelse over for banken og oplyste blandt andet følgende om hændelsesforløbet:

”Pludselig var der trukket på min konto. Var skrevet i mail at jeg skulle have penge tilbage fra You See, 957,00 kr. Det passede nogenlunde med det beløb, jeg havde til gode hos You See, da vi lige har skiftet udbyder, derfor var jeg i god tro. Jeg fan[d]t ikke noget mistænkelig ved mail hjemmesiden.”

Klageren oplyste endvidere følgende under øvrige oplysninger om hændelsesforløbet:

”Da vi tilfældigvis lige har skiftet til udbyder You See, var der et mellemliggende, hvor jeg skulle ha penge tilbage, og beløbet svarede nogenlunde til dette, og You See kunne sende dem til mit kt.nr. derfor anede jeg virkelig ikke uråd. Svindlerne havde lige ramt plet der øv.”

Banken godtgjorde klagerens tab fratrukket 8.000 DKK.

Parternes påstande

Den 12. september 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal tilbageføre 7.625 DKK.

Jyske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hun alene skal hæfte med 375 DKK i henhold til betalingslovens § 100, stk. 3.

Banken har ikke løftet bevisbyrden for, at hun har udvist groft forsvarlig adfærd i henhold til betalingslovens § 100, stk. 4, nr. 3. Hun havde ikke indset, at hun ved at anvende sit MitID var i risiko for misbrug. Hun burde endvidere ikke have indset, at dette var tilfældet.

Hun er grundet sin høje alder ikke en erfaren bruger af hverken PC eller smartphones, og hun havde derfor ikke nogen forudsætninger for at gennemskue, hvorvidt hun blev udsat for phishing eller ej.

Det kan oplyses, at beløbet samt beløbsmodtageren ikke fremgik af skærmen, men at skærmen ”lynhurtigt svirpede over” og blinkede et par gange. Det var først, da hun efterfølgende loggede ind på sin netbank, at hun første gang så teksten ”Betal 1070,90 EUR til [F] fra kort xx1555”, og at der var blevet hævet 1.070,90 EUR.

Det af banken anførte om, at hun skulle have fået forevist teksten ”Betal 1070,90 EUR til [F] fra kort xx1555” forinden godkendelsen, bestrides. Hun fik ikke disse oplysninger i forbindelse med MitID-godkendelsen. Hun kunne hverken se transaktionsbeløb eller modtager på sin enhed. Havde dette været tilfældet, ville hun ikke have godkendt via MitID. Det må derfor lægges til grund, at MitID-godkendelsen var underlagt svindel, hvor misbrugeren lykkedes med rent teknisk at ændre transaktionsbeløb og modtager, efter hun havde godkendt med MitID.

Bankens påstand om at den atypiske tilbagebetalingsmetode, ukendte afsender, og den dårligt formulerede tekst i mailen burde have skærpet hendes opmærksomhed og givet hende anledning til at undersøge sagen nærmere, før hun tilgik linket og godkendte betalingen, kan ikke tillægges betydning, idet hun har været udsat for organiseret svindel, der netop har til formål at vildlede brugeren uden, at brugeren fatter mistanke herom. Hun har i en alder af 80 år og omstændighederne taget i betragtning ikke haft forudsætninger for at kunne gennemskue svindlen.

Jyske Bank har til støtte for frifindelsespåstanden anført, at sagen skal afgøres efter betalingslovens § 100, stk. 4, nr. 3.

Betalingstransaktionen blev godkendt med klagerens kortoplysninger og i klagerens MitID-app, der slutter på -9865, der blev installeret på klagerens telefon den 3. december 2021.

Klagerens MitID er en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31, og ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Betalingstransaktionen er korrekt registreret og bogført og har ikke været ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98.

Klageren fulgte et link i en falsk mail, hvori hun fik oplyst, at hun skulle modtage en refusion på 957 DKK. Hun indtastede sine kortoplysninger og godkendte som følge heraf den i sagen omhandlede betalingstransaktion.

Klageren fik i godkendelsesbilledet i MitID, netop forinden hun godkendte betalingen, forevist både beløbets størrelse samt navn på beløbsmodtager. Det fremgik klart, at klageren ikke var i færd med at få penge retur, men derimod var i færd med at godkende og gennemføre en betaling på 1070,90 EUR.

Dette burde have skærpet klagerens opmærksomhed og givet hende anledning til at undersøge sagen yderligere, før hun godkendte betalingen. Havde klageren læst detaljerne for betalingen, som fremgik af godkendelsesteksten i MitID-appen, lige inden hun godkendte betalingstransaktionen, kunne misbruget have været undgået.

Det uheldige sammentræf, at klageren et stykke tid forinden modtagelse af svindel-mailen havde fået oplyst af YouSee, at hun ville modtage en refusion for flytning af et abonnement, kan ikke føre til andet resultat, da klageren umiddelbart forinden godkendelse af betalingen, i godkendelsesteksten i sin MitID-app tydeligt fik oplyst både beløb og navnet på beløbsmodtageren, og at hun var ved at godkende en betaling.

Det fremgik desuden af afsenderadressen, at mailen var sendt fra en udenlandsk afsender og ikke MitYouSee, ligesom mailen var formuleret på dårligt dansk og blandt andet indeholdt udtryk som ”Tilbagebetale faktura nummer”.

Både den atypiske tilbagebetalingsmetode, ukendte afsender, og den dårligt formulerede tekst i mailen burde have skærpet klagerens opmærksom og givet hende anledning til at undersøge sagen nærmere, før hun tilgik linket og godkendte betalingen.

Da klageren på trods af de ovennævnte forhold godkendte betalingen, har klageren ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse og hæfter dermed med 8.000 kr. af tabet, jf. betalingslovens § 100, stk. 4, nr. 3.

Til støtte for afvisningspåstanden har banken anført, at der er en sådan usikkerhed om det faktisk passerede i sagen, herunder hvilke betalingsoplysninger klageren har fået vist i betalingsflowet, at en afgørelse heraf forudsætter en bevisvurdering i form af parts- og vidneforklaringer, som ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, og at sagen dermed skal afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Jyske Bank, hvor hun havde en konto med et tilknyttet Vi-sa/dankort.

Den 3. juli 2023 blev der med klagerens betalingskort foretaget en betaling på 1.070,90 EUR svarende til 8.055,78 DKK til en betalingsmodtager, F, som klageren ikke kan vedkende sig.

Banken godtgjorde klagerens tab fratrukket 8.000 DKK.

Om baggrunden for betalingen har klageren oplyst, at hun et stykke tid forinden modtagelse af svindel-mailen havde fået oplyst af YouSee, at hun ville modtage en refusion for flytning af et abonnement. Hun modtog herefter en mail, der fremstod som værende fra YouSee, hvoraf fremgik, at hun var berettiget til en refusion med et link. Hun klikkede på linket og blev ført til en kortbetalingshjemmeside. Her oplyste hun sit kortnummer og blev ført videre til MitID godkendelse, hvor hun godkendte i troen på, at refusionen fra YouSee ville blive overført til hendes bankkonto, netop som den ansatte i YouSee forretningen havde forklaret hende.

Klageren har anført, at hun ikke blev præsenteret for beløb og beløbsmodtager i sin MitID-app, idet skærmen ”lynhurtigt svirpede over” og blinkede et par gange.

Banken har anført, at klageren selv godkendte betalingen i sin MitID-app, hvor beløb og beløbsmodtager fremgik ved godkendelsen.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Helle Korsgaard Lund-Andersen, Morten Winther Christensen og Janni Visted Hansen – udtaler:

Vi lægger til grund, at klageren må have godkendt betalingen på 1.070,90 EUR i sin MitID-app.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitIDappen, hvor hun fik oplysninger om beløbet på 1.070,90 EUR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Rolf Høymann Olsen og Kim Korup Eriksen – udtaler:

Vi finder det som oven for anført godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr., jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.

Der træffes afgørelse efter stemmeflertallet.

 

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.