Indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i MitID-app.

Sagsnummer:636/2023
Dato:07-05-2024
Ankenævn:Bo Østergaard, Christina Bryanth Konge, Klaus Tougaard Kristensen, Rolf Høymann Olsen og Poul Erik Jensen.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i MitID-app.
Indklagede:Nykredit Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i MitID-app.

Sagens omstændigheder

Klageren var kunde i Nykredit Bank, hvor han havde en konto med et tilknyttet betalingskort.

Den 28. september 2023 blev klagerens betalingskort anvendt til en betaling til en betalingsmodtager, F, på 21.999 kr., som klageren ikke kan vedkende sig.

Om baggrunden for transaktionen har klageren oplyst, at han modtog en mail, der fremstod som om, den kom fra PostNord, hvoraf fremgik, at han havde en pakke liggende i tolden, der skulle betales afgift af. Han klikkede på et link i mailen og godkendte en betaling på 33 kr. til PostNord med MitID.

Banken har oplyst, at det fremgår af en udskrift fra Nets, at klageren fik præsenteret følgende tekst i MitID-appen:

”Betal 21999,00 DKK til [F] fra kort xx2365”

Banken har oplyst, at kortbetalingen blev godkendt med sikkerhedsløsningen 3D Secure ved godkendelse i klagerens MitID-app, der blev installeret på klagerens enhed den 21. juni 2023. Der er ikke efterfølgende blevet tilføjet yderligere enheder til MitID-appen.

Klageren gjorde efterfølgende over for banken indsigelse mod betalingen. I en mail til banken anførte han blandt andet:

”D. 2/10-2023 er der blevet hævet 21999,-- på mit VisaDk [-2365] kontonr. [-517} som jeg ikke har kendskab til. Ved desværre nok godt hvad der er gået galt :/, har fået en af de der phishingmails fra "PostNord" hvor jeg er hoppet i med begge ben hvilket jeg normalt ikke gør men går netop og venter på en pakke som der skal betales afgift af så var desværre ikke opmærksom nok før det var sket.

Kort er spærret, konto og Mitid har ligeledes været spærret.”

I et svar af 10. oktober 2023 til klageren anførte banken blandt andet:

”…

Betalingen er foretaget med 3D Secure. Sikkerheden ved den type betaling er stor, da der både er benyttet betalingskort oplysninger, og betalingen er verificeret med SMS kode eller godkendt med din MitID app.

I den betaling du gør indsigelse mod, er transaktionen godkendt via dit MitID identifikationsmiddel [-9703] og denne tekst fremgik:

Betal 21999,00 DKK til [F] AS fra kort xx2365

Af teksten fremgår både det faktiske beløb og den faktiske modtager af betaling. Det er derfor meget vigtigt at man altid læser teksten og dobbelttjekker beløbet, før man endeligt godkender en betaling.

Når transaktionen er foretaget med 3D Secure, har vi ingen muligheder for at trække betalingen tilbage fra forretningen.

Iht. betalingslovens § 100, stk. 4. er selvrisikoen på kr. 8.000. På baggrund af dette har vi indsat kr. 13.999,00 på din konto.

Det er vigtigt altid at læse hvad du godkender.

Du skal aldrig trykke på et link i en e-mail eller sms. Vær helt sikker på at afsenderen af e-mailen er dem de udgiver sig for at være.

…”

I en mail samme dag til banken anførte klageren:

”Undrer mig meget at jeg skulle have godkendt at betale 21999,- i Mitid godkendelsen, er 100 på at der stod 33,- da jeg godkendte, så sløset er jeg alligevel ikke.”

Banken fastholdt sin afgørelse om, at klageren selv hæftede for 8.000 kr.

Parternes påstande

Den 17. oktober 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nykredit Bank skal betale 8.000 kr.

Nykredit Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at han desværre er hoppet på en af de mange fupmails, der hele tiden florerer.

Han kan med sikkerhed sige, at han ikke har foretaget et køb hos F den 28. september 2023. Han er sikker på, at han alene har godkendt en betaling på 33 kr. til PostNord.

I forbindelse med at han fik spærret sit MitID talte han samtidig med Center for Cybersikkerhed, som fortalte, at de før havde hørt om svindlere, som havde formået at lægge et falsk vindue ovenpå MitID-vinduet, så han reelt har godkendt noget andet, end han har set.

Nykredit Bank har til støtte for frifindelsespåstanden anført, at betalingen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl som beskrevet i betalingslovens § 98, stk. 1.

Klageren har selv har godkendt betalingen i sin MitID-app. Betalingstransaktionen har været underlagt stærk kundeautentifikation. Af MitID-appen fremgik teksten ”Betal 21999,00 DKK til [F] fra kort xx2365”, hvorefter klageren har swipet godkend til betalingstransaktionen. Klageren har således ved groft uforsvarlig adfærd muliggjort misbruget som beskrevet i betalingslovens § 100, stk. 4, nr. 3.

Banken er bekendt med, at der i enkelte tilfælde kan indsættes falske billeder, som kan skjule dele af godkendelsesprocessen. Det ville dog kunne aflæses teknisk af MitID historikken i form af aktivitet, der tyder på, at der ville have været flere enheder involveret. I dette tilfælde er der tale om en almindelig aktivitet og et almindeligt godkendelsesflow, hvilket ikke tyder på, at denne metode skulle have været anvendt, idet der ikke har været tilføjet nogen ny enhed til klagerens MitID siden den 21. juni 2023, hvor klagerens MItID-app -9703 blev installeret.

Det kan således lægges til grund, at der er tale om et typisk tilfælde af phishing, hvor klageren er bragt i vildfarelse med falske oplysninger på mail, men korrekte oplysninger i MitID-appen.

Til støtte for afvisningspåstanden har banken anført, at såfremt Ankenævnet ikke finder det bevismæssigt godtgjort, at klageren selv godkendte overførslen ved at swipe i MitID-appen, vil en yderligere afklaring af sagen forudsætte en bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Nykredit Bank, hvor han havde en konto med et tilknyttet Visa/dankort.

Den 28. september 2023 blev klagerens betalingskort anvendt til en betaling til en betalingsmodtager, F, på 21.999 kr., som klageren ikke kan vedkende sig.

Om baggrunden for transaktionen har klageren oplyst, at han modtog en mail, der fremstod, som om den kom fra PostNord, hvoraf fremgik, at han havde en pakke liggende i tolden, der skulle betales afgift af. Han klikkede på et link i mailen og godkendte en betaling på 33 kr. til PostNord med MitID

Banken har anført, at den omtvistede betaling med klagerens betalingskort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i klagerens MitID-app. Af en udskrift fra Nets fremgår, at følgende tekst blev sendt til klagerens MitID-app: ”Betal 21999,00 DKK til [F] fra kort xx2365”.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Bo Østergaard, Christina Bryanth Konge og Klaus Tougaard Kristensen – udtaler:

Vi finder det godtgjort, at klageren må have godkendt betalingen på 21.999 kr. i sin MitID-app. Vi har herved lagt vægt på oplysningerne fra Nets.

Vi finder derfor, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID-appen, hvor han fik oplysninger om beløbet på 21.999 kr. og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Rolf Høymann Olsen og Poul Erik Jensen – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, hvor beløbet først ændres efter, at transaktionen er godkendt.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr., jf.  betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.625 kr. til klageren.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.