Indsigelse mod at hæfte for 8.000 DKK af en korttransaktion, der blev godkendt i MitID.
| Sagsnummer: | 348/2024 |
| Dato: | 31-01-2025 |
| Ankenævn: | Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen, Karin Sønderbæk, Rolf Høymann Olsen og Martin Hare Hansen. |
| Klageemne: |
Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 DKK af en korttransaktion, der blev godkendt i MitID. |
| Indklagede: | Nykredit Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af en korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Nykredit Bank, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -325.
Den 9. juni 2024 blev der gennemført en kortbetaling på 25.000 AED (UAE dirham) svarende til 47.709,84 DKK med klagerens betalingskort -325 til en udenlandsk betalingsmodtager, betalingsmodtager A, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -227, som var installeret på klagerens iPhone 15 (model identifier 15,4) den 1. februar 2024. Banken har fremlagt en udskrift af en MitID-tekst, der blev sendt til MitID -227 i forbindelse med godkendelsen betalingen. Af teksten fremgik:
”Betal 25.000,00 AED til [betalingsmodtager A] fra kort [-325]”
Banken har oplyst, at transaktionen var korrekt registreret og bogført.
Banken har fremlagt en udskrift fra sit system, hvoraf fremgår:
”…
|
Dato for modtagelse |
Købs dato |
Forretningsnavn |
Indløsningssituation |
Transaktionsbeløb |
|
09-06-2024 11:45:34 |
09-06-2024 13:45:33 |
[betalingsmodtager A] |
Internet – 3-D Secure Fuld |
-25.000,00 AED |
…”
Banken har fremlagt en udskrift af betalingens processing details, hvoraf blandt andet fremgår:
”…
|
Processing Details |
|
|
Purchase Time |
2024-06-09 09:44:27 |
|
Purchase Amount |
25000.00 AED (6301.43 EUR) |
|
Device Channel |
Browser |
|
… |
|
|
Authentication Status |
01 – Fully authenticated |
|
Authentication method |
Nets Dynamic Authentication … / mitid.code_app … |
|
… |
|
…”
Banken har fremlagt en udskrift af MitID-loggen, hvoraf blandt andet fremgår:
”09-06-2024 11:45:09 … App – autentificering lykkedes …
…
MitID identifikationsmiddel-ID [-227]
…”
Klageren gjorde indsigelse mod betalingen ved indsigelse af 15. juni 2024. Af denne fremgår blandt andet:
”…
|
Redegørelse |
Jeg har i dag opdaget, at der er trukket DKK 47.709,84 kr. d. 10. juni i Dubai. |
|
Hvornår har du sidst brugt kortet? |
15.06.2024 kl. 13:30 |
|
Hvordan har du haft kortet opbevaret efter sidste hævning?
|
I min pung |
|
Har du nogen idé om, hvordan dit kort er blevet misbrugt? |
Nej |
|
Var du i besiddelse af kortet på tidspunktet for transaktion(erne)? |
Ja |
|
Dato |
10/06/2024 |
|
Beløb |
47.709,84 |
…”
Den 17. juni 2024 anmodede banken klageren om at oplyse, om hun havde modtaget en SMS eller e-mail, hvor hun blev bedt om at opdatere eller oplyse sit kortnummer, om hun havde haft noget til salg på internettet.
Samme dag svarede klageren:
”…
Jeg har ikke modtaget sms eller mail vedr. opdatering af noget - jeg har ikke brugt mit MitID på en mærkelig request - mit kort har ligget i min pung - jeg har ikke solgt eller købt noget på DBA – jeg har ikke klikket på noget omkring fragt eller andet. Jeg har ikke været ude og rejse eller brugt mit kort på mærkelige sider. Med andre ord - jeg aner ikke, hvad der er foregået. Jeg er enormt urolig for, om nogle af mine andre konti eller MitID er kompromitteret, men det mente jeres medarbejder, jeg talte med i lørdags, ikke er tilfældet.
…”
Den 19. juni 2024 godtgjorde banken klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 39.709,84 DKK til klagerens konto.
Parternes påstande
Den 27. juni 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Nykredit Bank skal godtgøre hende 8.000 DKK.
Nykredit Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at hun er blevet svindlet for 47.709,84 DKK. Hun er blevet delvist kompenseret for svindlen, men har betalt en egenhæftelse på 8.000 DKK. Hun er ikke enig i, at hun skal betale 8.000 DKK, da hun ikke har godkendt betalingen.
Hun har været i kontakt med MitID, som har oplyst, at beløbet er forsøgt godkendt to gange lige efter hinanden, og anden gang gik det igennem. Hendes MitID er lukket ned og hun har genoprettet det med nye koder.
Det fremgår af MitID-oversigten, at der forsøgt swipet to gange på samme tid. Det er ikke noget, hun på nogen måde kan godkende at have gjort. Hun fastholder, at hun ikke vil bøde med 8.000 DKK.
Nykredit Bank har til støtte for frifindelsespåstanden anført, at klageren selv har autoriseret betalingen. Betalingen blev godkendt med klagerens personlige MitID, fra den enhed som klageren almindeligvis anvender. MitID med et specifikt serienummer kan kun være installeret på én enhed. Desuden kræver godkendelse ved MitID altid, at der foretages et fysisk swipe på enheden, hvilket ikke kan gøres fra andre enheder end den, som godkendelsesanmodningen er sendt til, hvorfor godkendelsen ikke kan fjerngennemføres. Da et serienummer er unikt og MitID godkendelse kræver et fysisk swipe, er det usandsynligt, at klageren ikke selv har swipet på godkendelsesanmodningen, som blev sendt til klagerens enhed.
Hvis klageren har ret i sin påstand om, at der er tale om misbrug af MitID, ville det betyde at tredjemand skulle have haft kendskab til klagerens kortoplysninger, adgang til den enhed hvorpå MitID er installeret, haft loginoplysningerne til klagerens telefon, hvor klagerens MitID var installeret og have loginoplysninger til klagerens MitID. Dette er ikke tilfældet, da der er tale om en enhed og MitID, som klageren almindeligvis anvender, da klageren har været i besiddelse af sit betalingskort på tidspunktet for betalingens gennemførelse, og da klageren har forklaret ikke at have videregivet sine oplysninger til tredjemand.
Klageren har været udsat for phishing, hvor hun har godkendt betalingen. Klageren har ved godkendelse af betalingen udviste en groft uforsvarlig adfærd, som muliggjorde, at den omtvistede betaling blev gennemført, hvorfor klageren hæfter med 8.000 DKK, jf. betalingsloven § 100, stk. 4, nr. 3.
Banken har til støtte for afvisningspåstanden anført, at sagen forudsætter en yderligere bevisførelse i form af parts- og vidneafhøringer for en gennemgang af hele forløbet, hvilket ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, hvorfor sagen bør afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Nykredit Bank, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -325.
Den 9. juni 2024 blev der gennemført en kortbetaling på 25.000 AED (UAE dirham) svarende til 47.709,84 DKK med klagerens betalingskort -325 til en udenlandsk betalingsmodtager, betalingsmodtager A, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -227, som var installeret på klagerens iPhone15 (model identifier 15,4) den 1. februar 2024. Banken har fremlagt en udskrift af en MitID-tekst, der blev sendt til MitID -227 i forbindelse med godkendelsen betalingen. Af teksten fremgik: ”Betal 25.000,00 AED til [betalingsmodtager A] fra kort [-325]”.
Banken har oplyst, at transaktionen var korrekt registreret og bogført.
Banken har fremlagt en udskrift fra sit system, hvoraf fremgår, at betalingen var gennemført via ”Internet – 3-D Secure Fuld”.
Klageren gjorde indsigelse mod betalingen ved indsigelse af 15. juni 2024. Klageren har anført, at hun ikke har modtaget en SMS eller e-mail vedrørende opdatering af noget, hun har ikke anvendt sit MitID på en mærkelig anmodning, hendes betalingskort har ligget i hendes pung, hun har ikke solgt eller købt noget på DBA, hun har ikke klikket på noget vedrørende fragt eller andet, har ikke været ude at rejse eller brugt sit betalingskort mærkelige steder. Hun har ikke godkendt betalingen og aner ikke, hvad der er foregået.
Den 19. juni 2024 godtgjorde banken klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 39.709,84 DKK til klagerens konto.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kunde-autentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.