| Sagsnummer: | 311/2024 |
| Dato: | 12-02-2025 |
| Ankenævn: | Kristian Korfits Nielsen, Christina Bryanth Konge, Mette Lindekvist Højsgaard, Rolf Høymann Olsen og Elizabeth Bonde. |
| Klageemne: | Betalingstjenester - spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger Afvisning - bevis § 5, stk. 3, nr. 4 |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 kr. af korttransaktion, der blev godkendt i MitID. |
| Indklagede: | Nykredit Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Nykredit Bank, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -3474.
Den 17. april 2024 blev der gennemført en kortbetaling på 23.464,26 kr. med klagerens betalingskort -3474 til en betalingsmodtager, V, som klageren ikke kan vedkende sig.
Klageren har oplyst, at hun hele tiden har været i besiddelse af sit betalingskort. Hun har ikke udleveret sine koder til andre. Hun har heller ikke trykket på noget link eller modtaget nogle varer eller ydelser. Det eneste køb, som hun har foretaget, var et køb hos betalingsmodtager S på 187,75 kr. Hun har anmodet om at få sit kort spærret.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -0966, som var installeret på klagerens mobiltelefon den 24. januar 2022. Banken har fremlagt en udskrift fra Nets med teksten, der blev sendt til MitID-app i forbindelse med godkendelsen af betalingen. Af teksten fremgik:
”Betal 23464,26 DKK til [betalingsmodtager V] fra kort xx3474”
Banken har oplyst, at transaktionen var korrekt registreret og bogført.
Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf blandt andet fremgår, at MitID -0966 blev aktiveret den 24. januar 2022.
Klageren har anført, at hun ikke har foretaget noget køb hos betalingsmodtager V. Klageren gjorde indsigelse mod betalingen den 30. april 2024. Af denne fremgår blandt andet:
”…
Jeg kan se, at der er fratrukket et beløb på kr. 23.464,26 fra min konto den 23. april hos [betalingsmodtager V] - Jeg har ikke købt noget i den forretning. Jeg har bedt om at få mit kort spærret.
…”
Den 7. maj 2024 godtgjorde banken klagerens tab med fradrag af 8.000 kr., hvorfor den tilbageførte 15.464,26 kr. til klagerens konto.
Klageren gjorde indsigelse mod bankens afgørelse. Hun har været i kontakt med betalingsmodtager V, der har oplyst, at politiet er involveret, og at der var fem lignende sager.
Den 3. juni 2024 fastholdt banken sin afgørelse.
Parternes påstande
Den 5. juni 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Nykredit Bank skal godtgøre hende 8.000 kr.
Nykredit Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at hun ikke har foretaget købet hos betalingsmodtager V. Hun har aldrig udleveret sit betalingskort eller sine MitID-koder. Hun har ikke trykket på noget link. Hun har efterfølgende fået nyt bruger-ID, så det kan ikke være anvendt i april. Hun har hele tiden været i besiddelse af sit betalingskort.
Hun har ikke handlet uansvarligt på noget tidspunkt eller gjort noget forkert. Hun føler sig mistænkeliggjort og har tabt stort set al tillid til banken. Hun har forgæves anmeldt skaden til sit forsikringsselskab. Det er dybt uretfærdigt, at hun skal hæfte for 8.000 kr. i forbindelse med et køb, som hun ikke har foretaget.
Banken bør sørge for sikkerheden og være ansvarlig for, at den type kriminalitet ikke kan forekomme. Hun er interesseret i at vide, hvordan det overhovedet kan ske. Banken bør efterforske sagen og klarlægge hændelsesforløbet, herunder for at forhindre at det samme kan ske igen.
Nykredit Bank har til støtte for frifindelsespåstanden anført, at sagen ikke skal behandles efter betalingslovens § 112, stk. 1, nr. 2, da der ikke ses at foreligge et aftalegrundlag mellem klageren og forhandleren. Banken vurderer, at der er tale om tredjemandsmisbrug, hvorfor sagen skal behandles efter betalingslovens § 100, stk. 4.
Klageren har selv autoriseret betalingen. Banken har primært lagt vægt på oplysninger fra egne systemer og fra Nets. Klageren har oplyst, at hun på intet tidspunkt har delt sine MitID-oplysninger med andre, og at betalingskortet har været i hendes besiddelse på tidspunktet for betalingstransaktionen og i den efterfølgende periode.
Banken har derudover lagt vægt på, at godkendelsen af betalingstransaktionen er sket fra den MitID-app, som klageren almindeligvis benytter. Den er det eneste identifikationsmiddel, som har været tilknyttet klagerens MitID. Den anvendte sikkerhedsforanstaltning 3D Secure indebærer, at transaktionen kun kan gennemføres ved at indtaste kortoplysninger og godkende med MitID.
Godkendelsen sker ved verifikation i MitID-appen i form at et fysisk swipe på en fremsendt godkendelsesanmodning, hvor man præsenteres for den transaktion, som man er ved at godkende. Transaktionen gennemføres kun, hvis den godkendes. En app med et specifikt serienummer kan kun være installeret på én enhed, og det kræver altid, at der foretages et fysisk swipe på enheden. Det kan ikke gøres fra andre enheder end den, som godkendelsesanmodningen er sendt til, ligesom godkendelsen ikke kan fjerngennemføres.
Har klageren ret i sin påstand om, at der er tale om misbrug af MitID, indebærer det, at tredjemand har haft kendskab til klagerens kortoplysninger samt adgang til den enhed, hvorpå MitID-appen er installeret og adgang til loginoplysninger til MitID.
Det er ikke tilfældet. Der er tale om en enhed og en MitID-app, som har været anvendt af klageren siden 24. januar 2022. Sammenholdes det med, at klageren har oplyst, at hun var i besiddelse af sit betalingskort, og at hun ikke har delt sine MitID-oplysninger, forekommer det mest sandsynligt, at klageren har været udsat for phishing, hvor tredjemand er kommet i besiddelse af klagerens oplysninger.
Det fremgår af betalingslovens § 100, stk. 4, nr. 3, at betaleren hæfter med op til 8.000 kr. for tab som følge af andres uberettigede anvendelse af betalingstjenesten, såfremt den tilhørende personlige sikkerhedsforanstaltning har været anvendt, og betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.
Der er tale om en betaling med klagerens betalingskort, som ikke er bortkommet, og som er godkendt i klagerens egen MitID-app. Eftersom der ikke er omstændigheder der tyder på, at tredjemand har haft adgang til klagerens MitID, må det lægges til grund, at klageren selv har swipet ”godkend” til betalingen. Det følger af praksis fra Ankenævnet, at det udgør groft uforsvarlig adfærd efter betalingslovens § 100, stk. 4, nr. 3.
Klageren har oplyst, at det bruger-ID, der fremgår af sagen, er klagerens nye bruger-ID, som ikke kan være anvendt til betalingen den 17. april 2024. Der er alene knyttet en MitID-app til klagerens bruger-ID. Den er anvendt til godkendelse af betalingen. Den har været aktiv siden 24. januar 2022. Der har ikke været andre MitID-apps knyttet til klagerens bruger-ID.
Banken har til støtte for afvisningspåstanden anført, at sagen forudsætter en yderligere bevisførelse i form af parts- og vidneafhøringer for en gennemgang af hele forløbet, hvilket ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, hvorfor sagen bør afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Nykredit Bank, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -3474.
Den 17. april 2024 blev der gennemført en kortbetaling på 23.464,26 kr. med klagerens betalingskort -3474 til en betalingsmodtager, V, som klageren ikke kan vedkende sig.
Klageren har oplyst, at hun hele tiden har været i besiddelse af sit betalingskort. Hun har ikke udleveret sine koder til andre. Hun har heller ikke trykket på noget link eller modtaget nogle varer eller ydelser. Det eneste køb, som hun har foretaget, var et køb hos betalingsmodtager S på 187,75 kr. Hun har anmodet om at få sit kort spærret.
Banken har anført, at kortbetalingen den 17. april 2024 blev godkendt med stærk kundeautentifikation i klagerens MitID -0966, som var installeret på klagerens mobiltelefon den 24. januar 2022, og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 23464,26 DKK til [betalingsmodtager V] fra kort xx3474”.
Klageren har anført, at hun ikke har foretaget købet hos betalingsmodtager V. Hun har aldrig udleveret sit betalingskort eller sine MitID-koder. Hun har ikke trykket på noget link. Hun har efterfølgende fået nyt bruger-ID, så det kan ikke være anvendt i april. Hun har hele tiden været i besiddelse af sit betalingskort. Hun har ikke handlet uansvarligt på noget tidspunkt eller gjort noget forkert. Det er dybt uretfærdigt, at hun skal hæfte for 8.000 kr. i forbindelse med et køb, som hun ikke har foretaget.
Den 7. maj 2024 godtgjorde banken klagerens tab med fradrag af 8.000 kr., hvorfor den tilbageførte 15.464,26 kr. til klagerens konto.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 kr. af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.