Indsigelse mod at hæfte for 8.000 DKK af korttransaktion foretaget som en 3D Secure betaling godkendt med MitID.

Sagsnummer:495/2023
Dato:19-03-2024
Ankenævn:Helle Korsgaard Lund-Andersen, Inge Kramer, Andreas Moll Årsnes, Morten Bruun Pedersen og Poul Erik Jensen.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod at hæfte for 8.000 DKK af korttransaktion foretaget som en 3D Secure betaling godkendt med MitID.
Indklagede:Nordea Danmark
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af en korttransaktion foretaget som en 3D Secure betaling godkendt med MitID.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor han blandt andet havde en konto -078 og et Visa/Dankort.

Af bankens Regler for Dankort og Visa/Dankort fremgår blandt andet:

”…

10.2. Hæftelse og selvrisiko

Regler for din hæftelse er fastlagt i Lov om betalinger.

Hvis dit kort er blevet misbrugt af en anden person og der i den forbindelse er anvendt en personlig sikkerhedsforanstaltning, kan du komme til at dække op til 375 kr. af det samlede tab.

Du skal dække tab op til 8.000 kr. i tilfælde af, at dit kort har været misbrugt af en anden person og der i den forbindelse er anvendt en personlig sikkerhedsforanstaltning, og

• du har undladt at underrette Nordea snarest muligt efter at have fået kendskab til, at kortet eller din mobiltelefon med wallet er bortkommet, eller at uberettigede har fået kendskab til den personlige sikkerhedsforanstaltning

• du med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at du indså eller burde have indset, at der var risiko for misbrug, eller

• du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

…”

Den 1. juli 2023 blev der med klagerens betalingskort foretaget en betaling på 969,90 EUR svarende til 7.296,01 DKK til en betalingsmodtager, B, som klageren ikke kan vedkende sig.

Klageren har oplyst, at han ikke godkendte nogen betaling til B.

Banken har oplyst, at kortbetalingen blev gennemført ved, at klagerens betalingskortoplysninger blev indtastet, og ved anvendelse af sikkerhedsløsningen 3D Secure ved godkendelse i klagerens MitID-app nr. A[-5077].

Banken har fremlagt en udskrift fra RA-portalen/MitID-portalen, hvoraf fremgår, at klageren på tidspunktet for den ikke-vedkendte betaling havde et enkelt aktivt identifikationsmiddel A[-5077], der var blevet installeret på klagerens mobiltelefon (iPhone 14,6) den 24. august 2022. Det fremgår også, at den ikke-vedkendte betaling blev gennemført med klagerens MitID-app A[-5077] og hans Bruger-id.

Banken har endvidere fremlagt en udskrift fra Nets, hvoraf fremgår, at følgende tekst blev sendt til klagerens MitID-app i forbindelse med godkendelse af kortbetalingen:

”Betal 969,90 EUR til [B] fra kort xx6666”

Banken har herudover fremlagt Processing Details fra Nets, hvoraf blandt andet fremgår, at der den 1. juli 2023 blev foretaget en betaling på 696,90 EUR, som blev godkendt med MitID. 

Banken har oplyst, at transaktionen er korrekt gennemført, registreret og bogført, og i øvrigt ikke fejlbehæftet.

Betalingen blev trukket på klagerens konto den 4. juli 2023.

Ved tro- og loveerklæring af 5. juli 2023 gjorde klageren indsigelse mod betalingen. Det fremgår blandt andet heraf, at klageren hverken foretog eller godkendte betalingen, og at han heller ikke på anden måde deltog ved gennemførelsen heraf. 

Ved brev af 5. juli 2023 til klageren meddelte banken, at han selv hæftede for 8.000 DKK, da betalingen blev godkendt i hans MitID-app, og da han inden godkendelsen var blevet præsenteret for en tekst i appen, hvoraf både betalingsmodtager og beløb fremgik.

Klageren klagede over bankens afgørelse. Ved e-mail af 12. juli 2023 fastholdt banken, at klageren hæftede med en selvrisiko på 8.000 DKK.

Ved e-mail af 25. juli 2023 skrev klageren blandt andet:

”…

Mange tak for dit hurtige svar vedrørende min indsigelse. Efter at have gennemgået seneste aktiviteter i MitID.dk har jeg en forsat klar bestyrket formodning om, at jeg ikke selv har gennemført den nævnte godkendelse, og mener også at kunne dokumentere dette.

Jeg har gennemset mange af mine hidtidige rigtige godkendelser, og her kan jeg se, at de alle bliver godkendt af en brugeragent kaldet "Mozilla/5.0 (Windows NT 10.0 [xxx]...." - hvilket giver god mening, da jeg har Windows NT styresystem på min pc. Denne brugeragent har godkendt samtlige mine transaktioner i Juli (se bilag 1)

Når det gælder godkendelsen d. 1. Juli kl. 11:37 kan jeg imidlertid konstatere, at brugeragenten er "Mozilla/5.0 (iPhone; CPU iPhone OS_15_5 [xxx]).....", og denne brugeragent optræder ikke i nogle forangående eller efterfølgende godkendelser fra min side (se bilag 2)

Ovenstående er for mig et klart bevis for, at jeg ikke har godkendt den omtalte transaktion. Såfremt I kan dokumentere at brugeragenten med navnet "Mozilla/5.0 (iPhone; CPU iPhone OS_15_5 like Mac OS X)....." tilhører undertegnede vil jeg naturligvis acceptere dette og betale selvrisikoen, men det må også være Nordea der har bevisbyrden i dette tilfælde. Jeg vil derfor afvente at I kan påvise, at den omtalte brugeragent enten er knyttet til min telefon eller pc, før jeg endeligt accepterer betaling af selvrisikoen.

…”

Ved e-mail af 26. juli 2023 skrev banken blandt andet til klageren:

”…

Jeg har indhentet dette svar fra en mere MitID-kyndig kollega.

”Som kunden selv skriver så kan han historisk se i hændelseslogen at når han er ved sin pc er det en Win NT 10 xxx der står som brugeragent.

Og ja det er også rigtig at der står iphone 15 xxx som bruger agent på det tidspunkt hvor han bliver svindlet. I feltet brugeragent vil der bliver vist på hvilket system mitid appletten er åbnet – altså der hvor man du taster sit MitID bruger ID. Det kan jo gøres både fra en pc eller mobil browser.

Forklaringer er at det er svindleren der foretager et køb [på] svindlerens device, hvorfor at det står anderledes og viser dennes oplysninger. Det ændrer dog ikke ved, at det stadig er kundens eget MitID App der bruges til at godkende transaktionen”.

…”

Parternes påstande

Den 13. august 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal refundere 7.296,01 DKK til ham.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han har været udsat for svindel. Han har ikke handlet groft uforsvarligt, og han skal derfor ikke hæfte med en selvrisiko på 8.000 DKK. Banken skal refundere betalingen til ham.

Han godkendte med sikkerhed ikke betalingen på 969,90 EUR.

Han bad banken dokumentere, at han havde godkendt betalingen, og banken henviste derfor til hans aktivitetslog på MitID.dk. I loggen kan han se, at de godkendelser, som han foretog, skete med en brugeragent "Mozilla/5.0 (Windows NT [xxx]...", hvilket stemmer godt overens med, at han har Windows NT styresystem på sin PC.

Når det imidlertid kommer til den ikke-vedkendte betaling, så fremgår det af loggen, at det var en brugeragent ved navn ”Mozilla/5.0 (iPhone; CPU iPhone OS_15_5 [xxx])…”, der godkendte betalingen. Denne brugeragent optræder ikke i forbindelse med andre godkendelser i hans log, hverken forud for eller efter den ikke-vedkendte betaling. Dette er klart bevis for, at han ikke foretog betalingen på sin PC eller på sin mobiltelefon.

Banken fastholder hans ansvar på grund af en godkendelse, som banken ikke har dokumenteret, og samtidig vurderer banken, at han har handlet groft uforsvarligt.

Nordea Danmark har anført, at klageren blev præsenteret for teksten ”Betal 969,90 EUR til [B] fra kort xx6666”, og at han således blev præsenteret for kortbetalingen med præcis angivelse af beløb og beløbsmodtager, og der er derfor ikke tvivl om, at han godkendte betalingen på 7.296,01 DKK.

Det pågældende MitID, der godkendte betalingen, er fra samme enhed, som klageren bruger til at logge på sin Netbank/Mobilbank. Den omstændighed, at klageren er af den opfattelse, at han ikke godkendte betalingen og gennemførte processen via MitID, ændrer ikke herpå.

Klageren anfører, at der i hans MitID-hændelseslog fremgår, at en anden brugeragent end hans egen gennemførte den ikke-vedkendte betaling. Brugeragenten viser imidlertid den enhed, hvorfra kortoplysningerne anvendes og hvor klagerens MitID aktiveres. Den anvendte brugeragent ændrer ikke på, at transaktionen blev godkendt via klagerens MitID-app installeret på klagerens enhed.

Kortbetalingen er omfattet af betalingslovens § 100, stk. 4, og bankens kortregler for Visa/dankort.

Når klageren valgte at godkende kortbetalingen, som han efterfølgende ikke vil vedkende sig, må selve godkendelsen af betalingen i MitID appen anses for groft uforsvarlig adfærd fra klagerens side, hvorfor han har en selvrisiko på op til 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnets bemærkninger

Klageren var kunde i Nordea Danmark, hvor han havde en konto og et Visa/Dankort.

Den 1. juli 2023 blev der med klagerens betalingskort foretaget en betaling på 969,90 EUR svarende til 7.296,01 DKK til en betalingsmodtager, B, som klageren ikke kan vedkende sig.

Klageren har oplyst, at han ikke godkendte nogen betaling til B.

Banken har oplyst, at kortbetalingen blev gennemført ved, at klagerens kortoplysninger blev indtastet, og med anvendelse af sikkerhedsløsningen 3D Secure ved godkendelse i klagerens MitID-app. Banken har fremlagt en udskrift fra Nets, hvoraf fremgår, at følgende tekst blev sendt til klagerens MitID-app i forbindelse med godkendelse af kortbetalingen: ”Betal 969,90 EUR til [B] fra kort xx6666”.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.

Efter lov om betalinger § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug, herunder om der er tale om misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.