Spørgsmål om hæftelse for ikke-vedkendte kontooverførsler foretaget i mobilbank. Bortkommet mobiltelefon.

Sagsnummer:627/2024
Dato:20-06-2025
Ankenævn:Bo Østergaard, Bjarke Levinsky Svejstrup, Karin Sønderbæk, Rolf Høymann Olsen og Poul Erik Jensen.
Klageemne:Betalingstjenester - meddelelse om bortkomst
Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Spørgsmål om hæftelse for ikke-vedkendte kontooverførsler foretaget i mobilbank. Bortkommet mobiltelefon.
Indklagede:Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører spørgsmål om hæftelse for ikke-vedkendte kontooverførsler foretaget i mobilbank.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor han havde konto -4558 med adgang til mobilbank. Mobilbanken havde siden juli 2024 været tilknyttet klagerens iPhone XS (iOS-17.6.1).

Klageren har oplyst, at han natten til den 21. september 2024 mellem kl. 04:00-06:00 fik stjålet sin mobiltelefon. Senere på dagen kontaktede han banken for at spærre sit betalingskort.

Banken har fremlagt en log over alle loginforsøg på mobilbanken tilknyttet klagerens iPhone XS i perioden mellem 21. og 30. september 2024. Banken har oplyst, at det fremgår heraf, at der blev logget på mobilbanken mange gange i perioden, uden at der blev foretaget transaktioner.

Banken har fremlagt en log over klagerens aktive og spærrede identifikationsmidler. Det fremgår af loggen, at adgangen til MitID-app -0472, som var installeret på den bortkomne iPhone XS, blev spærret den 21. september 2024 kl. 08:24.

Den 27. september 2024 blev MitID-app -2427 aktiveret på klagerens nye mobiltelefon af mærket iPhone 11 (iOS-17.5.1). Adgangen til MitID-appen blev spærret den 4. oktober og aktiveret den 7. oktober 2024.

Den 2. oktober 2024 blev der via mobilbanken tilknyttet klagerens iPhone XS foretaget to kontooverførsler fra klagerens konto -4558 til modtagerkonto 1 på 12.900 kr. med posteringteksten ”Til [fornavn P]” og til modtagerkonto 2 på 30.000 kr. med posteringsteksten ”Til [fornavn M]”. Kontooverførslerne blev godkendt med servicekoden til mobilbanken. Klageren har oplyst, at han hverken kender ”P” eller ”M”.

Banken har oplyst, at klagerens konto -4558 havde været en låst børneopsparingskonto, men at den i 2023 blev ændret til en opsparingskonto uden spærring.

Klageren har oplyst, at han den 4. oktober 2024 blev opmærksom på overførslerne, og at han samme dag anmeldte tyveriet af mobiltelefonen til politiet.

Banken har oplyst, at klageren den 4. oktober kontaktede banken for at spærre sit MitID samt sin adgang til mobilbank og netbank.

Ved tro og love-erklæring af 15. oktober 2024 gjorde klageren indsigelse mod de ikke-vedkendte kontooverførsler og anførte blandt andet:

”…

Hændelsesforløb/…

Hvornår og hvordan er transaktionen opdaget? Er beløbsmodtageren kendt af afsenderen? Atypiske hændelser? / ...

Jeg har fået min telefon stjålet hvorpå der har lagt et billede af mig der holder mit pas ved siden af mit ansigt. Tænker at det er den vej dem der har stjålet telefonen er tilgået min bank

Uddybende oplysninger /…

Hvordan opbevarer du dit NemID eller MitID nøglekort, dit brugerID til netbank og dit password til netbanken? /…

Alt sammen ligger på min telefon hvor der skal bruges kode eller ansigtsgenkendelse for at tilgå dette

 

 

Har du tidligere fået hjælp med betalinger i netbanken, så andre kan have fået kendskab eller adgang til dit NemID eller MitID bruger-id, din adgangskode og dir nøglekort? /...

Nej

 

Er du blevet kontaktet af nogen der bad dig bekræfte dine bankoplysninger? /…

Nej

 

Hvilke løsninger benytter du til at logge på med dit NemID eller MitID? F.eks. NemID eller MitID nøglekort, nøgleapp eller andet? /…

MitID og service kode

 

Kender andre din servicekode til mobilbanken? / …

Måske – tyven der har taget telefonen. Men den er nu ændret.

…”

Den 29. oktober 2024 afviste banken klagerens indsigelse. Banken anførte blandt andet, at klageren havde oplyst, at koden til at åbne mobiltelefonen var forskellig fra servicekoden til mobilbanken, og ingen af koderne var nedskrevne.

Klageren klagede over bankens afvisning.

Den 9. december 2024 besvarede banken klagerens klage. Banken anførte blandt andet, at det på baggrund af sagens oplysninger var usandsynligt, at klageren havde været udsat for tredjemandsmisbrug, blandt andet fordi det ikke er teknisk muligt at logge på mobilbanken med et billede af klagerens ansigt.

Banken har oplyst, at modtagerkonto 1 var en konto i banken, og at banken kontaktede modtageren ”P”, som oplyste, at beløbet var modtaget fra en ven efter aftale.

Banken har anført, at overførslerne var korrekt registreret og bogført og ikke var ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1, 1. pkt., og at overførslerne blev gennemført ved brug af stærk kundeautentifikation, da klagerens personlige sikkerhedsforanstaltning blev anvendt ved godkendelsen af overførslerne. Servicekoden til mobilbanken udgjorde sammen med mobiltelefonen med mobilbanken den stærke kundeautentifikation.

Parternes påstande

Den 19. december 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal godtgøre ham det fulde tab.

Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at overførslerne i henhold til betalingslovens § 99 blev gennemført uden hans godkendelse.

Han ved ikke, hvordan gerningsmanden fik adgang til hans mobilbank.

Det lykkedes muligvis gerningsmanden at opnå adgang til mobilbanken ved at anvende et billede af ham, som var gemt på mobiltelefonen, hvorpå han holder sit pas ved siden af sit ansigt.

Gerningsmanden havde forsøgt at ændre hans MitID, og han havde flere gange fået det genåbnet på Borgerservice.

Han har makuleret sit pas og lavet en advarselserklæring, så det ikke kan misbruges.

Han kender hverken ”M” eller ”P”, og ”P”’s forklaring om, at han på modtagerkonto 1 havde modtaget 12.900 kr. efter aftale med en ven, er ikke sand.

Konto -4558 var en børneopsparing, som havde været låst, siden den blev synlig for ham i netbanken.

Danske Bank har til støtte for frifindelsespåstanden anført, at klageren ikke blev udsat for tredjemandsmisbrug, og betalingslovens hæftelsesregler finder derfor ikke anvendelse. Kontooverførslerne blev godkendt med servicekoden til mobilbanken, der sammen med mobiltelefonen med mobilbanken udgør stærk kundeautentifikation.

Koderne til telefonens skærmlås og mobilbanken var forskellige. Ingen af koderne var nedskrevne, og det er ikke sandsynliggjort, hvordan gerningsmanden skulle have fået kendskab koderne. Det er ikke teknisk muligt at logge på mobilbanken med et billede af klagerens ansigt.

Klageren undlod at spærre mobil- og netbank i umiddelbar forlængelse af, at han havde mistet sin mobiltelefon.

Klageren havde tidligere oplyst, at hans iPhone XS blev stjålet den 22. september 2024 mellem 04:00 og 06:00. Det fremgår også af kvitteringen for klagerens politianmeldelse, at mobiltelefonen blev stjålet den 22. september 2024 mellem kl. 04:00 og 06:00. Klageren havde endvidere oplyst, at han åbnede sin mobilbank på den stjålne mobiltelefon ca. kl. 03:00 samme nat, som mobiltelefonen blev stjålet. Det fremgår af bankens systemer, at der blev logget på mobilbanken på den stjålne mobiltelefon den 22. september 2024 kl. 03:18, og at der ikke blev logget på mobilbanken den 21. september 2024 omkring kl. 03:00.

Der blev logget på mobilbanken mange gange, efter at mobiltelefonen efter det oplyste var stjålet, uden at der blev foretaget overførsler. Det er usandsynligt, at en gerningsmand har logget sig på mobilbanken uden at forsøge at foretage en overførsel. Først ti dage efter at mobiltelefonen blev stjålet, blev kontooverførslerne gennemført i mobilbanken.

Til klagerens kommentar om, at gerningsmanden har forsøgt at ændre hans MitID, bemærkes, at MitID-appen på den stjålne iPhone XS blev spærret den 21. september 2024. Banken bemærker i øvrigt, at kontooverførslerne ikke blev godkendt ved brug af MitID, men med servicekoden til mobilbanken, der sammen med mobiltelefonen udgjorde stærk kundeautentifikation.

Konto -4558, var en opsparingskonto uden spærring. Den havde tidligere havde været en låst børneopsparing, men blev i 2023 ændret til en opsparingskonto uden spærring.

Banken har i øvrigt ikke handlet ansvarspådragende.

Banken har til støtte for afvisningspåstanden anført, at der ikke er sammenhæng mellem klagerens forklaringer og de øvrige oplysninger i sagen, og at en vurdering af sagen derfor vil kræve yderligere bevisførelse i form af vidne-og/eller partshøringer, der ikke kan ske for Ankenævnet. Ankenævnet bør derfor afvise se at behandle sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Danske Bank, hvor han havde en konto med tilknyttet et betalingskort og adgang til mobilbank.

Klagerens mobilbank var tilknyttet hans mobiltelefon af mærket iPhone XS.

Klageren har oplyst, at han natten til den 21. september 2024 mellem kl. 04:00-06:00 fik stjålet sin mobiltelefon. Senere på dagen kontaktede han banken for at spærre sit betalingskort. Adgangen til MitID-app -0472, som var installeret på den bortkomne iPhone XS, blev også spærret den 21. september 2024.

Klageren har oplyst, at han den 4. oktober 2024 blev opmærksom på, at der den 2. oktober 2024 var blevet gennemført to overførsler på i alt 42.900 kr. fra hans konto i banken, som han ikke kunne vedkende sig, hvorefter han spærrede adgangen til sin mobilbank.

Banken har anført, at kontooverførslerne var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1, 1. pkt. Kontooverførslerne blev gennemført ved brug af stærk kundeautentifikation, da klagerens personlige sikkerhedsforanstaltning blev anvendt ved godkendelsen af overførslerne. Servicekoden til mobilbanken sammen med mobiltelefonen med mobilbanken udgjorde den stærke kundeautentifikation.

Ved tro og love-erklæring af 15. oktober 2024 gjorde klageren indsigelse mod de ikke-vedkendte kontooverførsler.

Banken afviste at godtgøre klagerens tab.

Klageren har anført, at banken skal betale ham det fulde tab tilbage.

Banken har endvidere anført, at det ikke er sandsynliggjort, at klageren har været udsat for tredjemandsmisbrug. Der ikke er sammenhæng mellem klagerens forklaring af hændelsesforløbet og de foretagne kontooverførsler, og en vurdering af sagen vil derfor kræve yderligere bevisførelse.

Ankenævnet lægger til grund, at de ikke-vedkendte kontooverførsler er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1, 1. pkt.

Af betalingslovens § 98, stk. 2, følger, at registrering af brug af et betalingsinstrument ikke i sig selv er bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Afgørelsen af sagen beror på, om der må antages at være tale om tredjemandsmisbrug. Ankenævnet finder, at en stillingtagen til sagen forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.

 

Internationale netværk

Vedtægter

Ankenævnets nævnsmedlemmer

Vejledninger til klageportalen

Behandling af personoplysninger

Kontakt os  

Sekretariatet for det finansielle ankenævn
Amaliegade 7
1256 København K

sek@fanke.dk
Tlf. 35 43 63 33
Telefontid kl. 10.00 -12.00

Henvendelse til Sekretariatet skal ske
skriftligt eller telefonisk.