Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
| Sagsnummer: | 67/2024 |
| Dato: | 31-01-2025 |
| Ankenævn: | Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen, Karin Sønderbæk, Rolf Høymann Olsen og Martin Hare Hansen. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID. |
| Indklagede: | Nykredit Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Nykredit Bank, hvor han blandt andet havde en konto med et tilknyttet betalingskort -997.
Banken har fremlagt sine brugerregler for Visa/Dankort, hvoraf blandt andet fremgår:
”…
3. Brug af Visa/Dankort
3.1 Betaling
Inden du godkender en betaling eller en hævning, skal du altid sikre dig, at beløbet er korrekt. Betalinger, som du har godkendt, kan ikke tilbagekaldes. …
…”
Den 14. marts 2023 blev der gennemført to kortbetalinger på henholdsvis 1.969,87 EUR og 75 EUR svarende til 14.252,77 DKK og 564,47 DKK med klagerens betalingskort -997 til en udenlandsk betalingsmodtager, betalingsmodtager L, som klageren ikke kan vedkende sig. Banken har oplyst, at betalingsmodtager L tilbageførte klageren beløbet på 75 EUR.
Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf blandt andet fremgår, at MitID -792 blev aktiveret den 11. november 2021 på en iPhone 11 Pro. Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -792. Banken har fremlagt en udskrift fra sit system med teksten, der blev sendt til MitID -792 i forbindelse med godkendelsen betalingen. Af teksten fremgik:
”Betal 1969,87 EUR til [betalingsmodtager L] fra kort [-997]”
Banken har fremlagt en udskrift af transaktionen på 1.969,87 EUR, hvoraf fremgår:
”
|
… |
14-03-2023 21:30:36 |
14-03-2023 20:30:36 |
[betalingsmodtager L] |
Internet – 3-D Secure Fuld |
-1.969,87 EUR |
”
Banken har oplyst, at transaktionen var korrekt registreret og bogført.
Klageren gjorde indsigelse mod betalingen ved indsigelsesblanket af 17. marts 2023. Af denne fremgår blandt andet:
”…
Skriv en kortredegørelse over hændelsesforløbet*
Jeg opdager, via besked fra banken (Nykredit) at der er transaktion (Euro) som jeg ikke kender til.
Hvornår har du sidst brugt kortet? (Dato og tidspunkt)*
[Forretning S] 15. marts
[Forretning M] 15. marts
Hvordan har du haft kortet opbevaret efter sidste hævning?*
I min tegnebog/pung
Har du nogen idé om, hvordan dit kort er blevet misbrugt?*
Nej
Var du i besiddelse af kortet på tidspunktet for transaktion(erne)?*
[X] Ja [ ] Nej
…”
Den 3. maj 2023 godtgjorde banken klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 6.252,77 DKK til klagerens konto.
Klageren gjorde indsigelse mod bankens afgørelse.
Den 8. august 2023 fastholdt sin afgørelse af 3. maj 2023.
Parternes påstande
Den 6. februar 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Nykredit Bank skal godtgøre ham tabet med fradrag af 375 DKK.
Nykredit Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at han den 17. marts 2023 modtog en advisering fra banken om, at der var foretaget et køb på 1.969,87 EUR. Han kontaktede straks banken, da han ikke kendte til betalingen. Han gjorde dermed alt, hvad han kunne for at få stoppet handlen.
Han talte med tre medarbejdere i banken, som alle bad ham om at tænke sig om, da man i de fleste tilfælde kan have foretaget en handel, som man ikke kan huske. Han handler meget sjældent på internettet, og han husker, hvad han køber. Han handler aldrig i udenlandske forretninger over internettet. Han har aldrig før handlet elektronik på internettet. Det eneste anormale omkring misbrugstidspunktet, han kunne komme i tanke om, var, at han skulle geninstallere NemID på sin telefon i forbindelse med, at han skulle kontaktet et boligselskab, hvorfor han i en periode ikke havde tilgængelighed via MitID. Han har aldrig oplyst sine kontooplysninger til andre eller modtaget eller svaret på SMS eller e-mails vedrørende kontooplysninger. Banken mener, at det er umuligt for andre at handle på hans konto, men det er forkert. Ifølge Digitaliseringsstyrelsen samt artikler fra ingeniører beskrives det, hvordan et misbrug, som han har oplevet, kan lade sig gøre.
Han anmodede banken om at få lukket sit betalingskort og annullere betalingen. Banken meddelte ham, at det var for sent at annullere købet. Han undrer sig meget over, at banken ikke kunne annullere købet, da han reagerede straks på dens henvendelse.
Banken ville ikke oplyse ham noget om betalingen, herunder hvad der var købt eller hvor der var handlet. Han måtte selv via Google finde ud af, at købet var foretaget hos et elektronikfirma i Frankrig.
Det er ærgerligt, at sagen skal trækkes ud, som banken har gjort. Det er underligt at have en bank, der ikke stoler på sin kunde, og fra dag et nægter at hjælpe, selvom kontoen er blevet hacket.
Han er uenig i, at han skal hæfte for 8.000 DKK og ikke for den lave sats på 375 DKK. Banken ønskede ikke at svare på, hvorfor han skulle hæfte for 8.000 DKK. Hæftelsen på 8.000 DKK udgør mere end 50 % af den samlede svindel. Han håber, at banken vil komme til fornuft og hjælpe ham i stedet for at modarbejde ham, så han kan få sine surt optjente penge tilbage.
Nykredit Bank har til støtte for frifindelsespåstanden anført, at klageren i forbindelse med sagen har oplyst, at han på intet tidspunkt har delt sine MitID-oplysninger med nogen, og at betalingskortet har været i hans besiddelse på tidspunktet for betalingstransaktionen og i den efterfølgende periode.
Godkendelsen af betalingstransaktionen er sket med MitID -792. MitID -792 blev oprettet den 11. november 2021 og er det eneste identifikationsmiddel, der har været aktivt på tidspunktet for transaktionen. MitID -792 blev før betalingen anvendt af klageren. Et MitID med et specifikt serienummer kan kun være installeret på én enhed.
Den anvendte sikkerhedsforanstaltning 3D Secure indebærer, at transaktionen udelukkende kan gennemføres ved både at indtaste kortoplysninger og godkende med MitID. Godkendelsen sker ved verifikation i MitID i form at et fysisk swipe på en fremsendt godkendelsesanmodning, hvor man bliver præsenteret for den transaktion, man er ved at godkende. Transaktionen gennemføres kun, hvis den godkendes. Det kræves altid, at der foretages et fysisk swipe på enheden, hvilket ikke kan gøres fra andre enheder end den, som godkendelsesanmodningen er sendt til, ligesom godkendelsen ikke kan fjerngennemføres.
Hvis der var tale om misbrug af MitID, ville det betyde at tredjemand skulle have haft kendskab til klagerens kortoplysninger, samt adgang til den enhed hvorpå MitID er installeret og desuden loginoplysninger til dette MitID. Dette er ikke tilfældet, da der er tale om samme enhed og MitID, som har været anvendt af klageren siden 11. november 2021. Klageren har oplyst, at han var i besiddelse af det pågældende betalingskort, og at han ikke havde delt sine kort- eller MitID-oplysninger med andre. Betalingstransaktion er gennemført og godkendt af klageren selv med et fysisk swipe på klagerens enhed.
Godkendelsen bør betragtes som groft uforsvarlig adfærd, der har muliggjort svindlen, da man i MitID får vist betalingens størrelse samt beløbsmodtageren, og derfor har alle muligheder for at tage stilling til godkendelsen inden denne foretages. Derved bør klageren hæfte i medfør af betalingslovens § 100, stk. 4, nr. 3.
Banken har tilbageført den resterende del af den omhandlende transaktion, udover klagerens egen hæftelsen på 8.000 DKK, hvormed der er indsat 6.252,77 DKK (14.252,77 DKK − 8.000 DKK) på klagerens konto. Klageren bør ikke få medhold i sin påstand om yderligere godtgørelse.
Banken har til støtte for afvisningspåstanden anført, at sagen forudsætter en yderligere bevisførelse i form af parts- og vidneafhøringer for en gennemgang af hele forløbet, hvilket ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, hvorfor sagen bør afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Nykredit Bank, hvor han blandt andet havde en konto med et tilknyttet betalingskort -997.
Den 14. marts 2023 blev der gennemført to kortbetalinger på henholdsvis 1.969,87 EUR og 75 EUR svarende til 14.252,77 DKK og 564,47 DKK med klagerens betalingskort -997 til en udenlandsk betalingsmodtager, betalingsmodtager L, som klageren ikke kan vedkende sig. Banken har oplyst, at betalingsmodtager L tilbageførte klageren beløbet på 75 EUR.
Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf blandt andet fremgår, at MitID -792 blev aktiveret den 11. november 2021 på en iPhone 11 Pro. Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -792. Banken har fremlagt en udskrift fra sit system med teksten, der blev sendt til MitID i forbindelse med godkendelsen betalingen. Af teksten fremgik beløbet, betalingsmodtager L og betalingskort -997. Banken har herudover fremlagt en udskrift af transaktionen, hvoraf blandt andet fremgår, at transaktionen var gennemført ved ”Internet – 3-D Secure Fuld”.
Klageren gjorde indsigelse mod betalingen ved indsigelsesblanket af 17. marts 2023. Af denne fremgår blandt andet, at klageren ikke vidste, hvordan hans betalingskort var blevet misbrugt, at hans betalingskort på tidspunktet for transaktionen havde været i hans pung, og at han først blev opmærksom på svindlen, da han modtog en meddelelse fra banken.
Den 3. maj 2023 godtgjorde banken klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 6.252,77 DKK til klagerens konto.
Klageren gjorde indsigelse mod bankens afgørelse. Den 8. august 2023 fastholdtbanken sin afgørelse af 3. maj 2023.
Banken har oplyst, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter den var godkendt, uanset tidspunkt for den efterfølgende spærring af betalingskortet og debitering af beløbet på klagerens konto.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen og Karin Sønderbæk – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 1.969,87 EUR i sin MitID.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID, hvor han fik oplysninger om beløbet på 1.969,87 EUR og beløbsmodtageren, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Rolf Høymann Olsen og Martin Hare Hansen – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, banken skal tilbageføre 7.625 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.