Indsigelse mod at hæfte for korttransaktion godkendt i MitID.
| Sagsnummer: | 541/2023 |
| Dato: | 19-03-2024 |
| Ankenævn: | Henrik Waaben, Morten Winther Christensen, Mette Lindekvist Højsgaard, Rolf Høymann Olsen og Elizabeth Bonde. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for korttransaktion godkendt i MitID. |
| Indklagede: | Sparekassen Thy |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for korttransaktion godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Sparekassen Thy, hvor hun havde en konto -435 med et tilhørende Visa/Dankort -877.
Den 5. august 2023 blev klagerens betalingskort anvendt til betaling til en udenlandsk betalingsmodtager, P, på 1.699 EUR svarende til 12.789,00 DKK, som klageren ikke kan vedkende sig.
Klageren har oplyst, at hun den 5. august 2023 fik en SMS, hvoraf fremgik, at oplysningerne i hendes MobilePay var udløbet, hvorfor onlinefunktionen ikke var tilgængelig for hende. Klageren skulle derfor via et link opdatere sine betalingsoplysninger. Da hun tilgik siden via linket, oplyste hun sine betalingsoplysninger, da hun skulle anvende sin MobilePay til betaling senere samme dag. Efter indtastning af betalingsoplysninger blev hun bedt om at godkende opdateringen. Hun swipede ”godkend” og nåede ikke at registrere, at hun godkendte en betaling på 1.699 EUR. Fem minutter efter godkendelsen modtog hun en besked fra sin sparekasse om, at hun havde foretaget en betaling på 1.699 EUR til betalingsmodtager P.
Sparekassen har fremlagt en e-mail fra NETS, hvoraf fremgår, at transaktionen blev gennemført med sikkerhedsløsningen 3D Secure ved godkendelse med MitID, og at følgende tekst blev sendt til klagerens MitID i forbindelse med godkendelse af kortbetalingen:
”Betal 1699,00 EUR til [P] fra kort xxx[-877]”
Beløbet på 12.789 DKK blev trukket på klagerens konto -435 den 8. august 2023.
Den 10. august 2023 gjorde klageren indsigelse over for sparekassen mod kortbetalingen. Af indsigelsesblanketten fremgår blandt andet:
”…
Beskriv hvad der er sket: …
Den 8. august, fik jeg en besked at jeg skulle opdatere min Mit Id oplysninger og ca 10 min efter jeg har gjort det, få jeg besked fra bank at det blev foretaget en køb fra mit kort på EUR 1.699 og det er jeg er helt sikker på at jeg ikke har købt noget for så stort et beløb i en fysisk butik, da beskeder fra min bank kommer kun vedr. et køb i fremmed valuta i en fysisk butik.
…
Er du på noget tidspunkt blevet kontaktet og bedt om at bekræfte/oplyse dit betalingskort eller dine personlige oplysninger?...
Nej, jeg er ikke blevet kontaktet
…”
Klageren har fremlagt en anmeldelse til politiet, hvoraf blandt andet fremgår:
”…
Jeg har modtaget en SMS fra BrugerID hvor jeg skulle opdatere af detaljerne for MobilePay, da det udløb og at funktioner vil ikke virker mere og det var en link hvor jeg skulle opdatere. Uden at tænker så meget skyndede jeg at gennemføre den opdatering, da jeg skulle bruger min Mobilepay til noget betaling lidt senere på aften. Jeg skulle indtaste bankkort oplysninger ind og jeg havde slet ikke den mindste mistanke at det er noget forkert da det er min kort er tilknyttet til Mobilepay. Efter indtastning af kort oplysninger skulle jeg godkende det med mit id. Imens jeg swiper for at godkende, nåede jeg at se et beløb og der var det er for sent. Det gik ca 5 min hvor jeg får besked fra mit bank om en køb for EUR 1.699,00 til [P] :-( jeg fik straks spæret mit kort.
…”
Sparekassen godtgjorde klagerens tab fratrukket 8.000 DKK svarende til 4.789 DKK.
Parternes påstande
Den 5. september 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Thy skal godtgøre hende 8.000 DKK.
Sparekassen Thy har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at hun er blevet udsat for svindel.
Hun har anmeldt svindlen til politiet. Hun har meddelt betalingsmodtager P, hvad der er foregået. Muligvis har svindlerne misbrugt deres navn for at få hendes oplysninger.
Hun havde ikke den mindste mistanke om, at der var noget forkert i linket. Hun nåede ikke at registrere, at hun godkendte en betaling på 1.699 EUR. Hun skænkede det ikke en tanke, da hun skulle anvende MobilePay senere samme dag.
Det er ikke rimeligt at betale 8.000 DKK i selvrisiko, når hun er blevet udsat for svindel. Selvrisikoen burde sænkes.
Sparekassen Thy har anført, at transaktionen er korrekt registreret og bogført samt at klageren autoriserede transaktionen med sin MitID, og at transaktionen dermed blev godkendt med stærk kundeautentifikation.
Klageren har ifølge hende selv afgivet sine betalingsoplysninger til tredjemand, hvilket muliggjorde betalingstransaktionen.
Det fremgik af godkendelsesteksten i klagerens MitID, at betalingsmodtageren var P, og at beløbet på 1.699 EUR ville blive trukket på hendes betalingskort. Det måtte derfor være klart for klageren, at hun var ved at foretage en betaling på 1.699 EUR til en ukendt modtager.
Klageren modtog en SMS fra en afsender, der fremstod som om, at den var Mobilepay, hvori hun skulle trykke på et link. Mobilepay sender ikke den form for SMS´er, og Mobilepay oplyser også herom på sin hjemmeside. Derudover kan man i SMS´en se, at linket ikke fører ind på MobilePays hjemmeside, men i stedet ”mobilepay-2fa.cyclic.app”.
Klageren befandt sig ikke i en presset situation ved afgivelse af sine kortoplysninger og godkendelse af betalingen. Det var tydeligt, at SMS´en var en phishing-SMS og klageren havde god tid til at opdage det.
Klageren muliggjorde betalingen ved groft uforsvarlig adfærd, hvorfor hun hæfter med 8.000 DKK, jf. betalingslovens § 100, stk. 4.
Ankenævnets bemærkninger
Klageren var kunde i Sparekassen Thy, hvor hun havde en konto -435 med et tilhørende Visa/dankort -877.
Den 5. august 2023 blev klagerens betalingskort anvendt til betaling til en udenlandsk betalingsmodtager, P, på 1.699 EUR svarende til 12.789,00 DKK, som klageren ikke kan vedkende sig.
Klageren har oplyst, at hun den 5. august 2023 fik jeg en SMS, hvoraf fremgik, at oplysningerne i hendes MobilePay var udløbet, hvorfor onlinefunktionen ikke var tilgængelig for hende. Klageren skulle via et link opdatere sine betalingsoplysninger. Da hun tilgik siden via linket, oplyste hun sine betalingsoplysninger, da hun skulle anvende sin MobilePay til betaling senere samme dag. Efter indtastning af betalingsoplysningerne blev hun bedt om at godkende opdateringen. Hun swipede ”godkend” og nåede ikke at registrere, at hun godkendte en betaling på 1.699 EUR.
Klageren har anført, at hun ikke havde en mistanke om, at der var noget forkert i linket, og mener ikke, at det er rimeligt at betale en selvrisiko på 8.000 DKK.
Sparekassen har anført, at klageren muliggjorde betalingen ved groft uforsvarlig adfærd, hvorfor hun hæfter med 8.000 DKK, jf. betalingslovens § 100, stk. 4.
Ankenævnet lægger til grund, at betalingen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at godkendelse af betalingen i klagerens MitID skete ved anvendelse af personlige sikkerhedsforanstaltninger, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Henrik Waaben, Morten Winther Christensen og Mette Lindekvist Højsgaard – udtaler:
Vi lægger til grund, at klageren må have godkendt betalingen på i alt 12.789 DKK med sit MitID. Vi finder det således godtgjort, at teksten i den besked, som klageren modtog i MitID, indeholder de oplysninger, som fremgår af den fremlagte udskrift fra Nets, og at klageren således modtog oplysning om beløbet og betalingsmodtageren.
Vi finder herefter, at sparekassen har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, hvor hun fik oplysninger om beløbet på 1.699 EUR og beløbsmodtageren P, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Rolf Høymann Olsen og Elizabeth Bonde – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Vi finder ikke, at sparekassen har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at sparekassen er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, sparekassen skal tilbageføre 7.625 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.