Sagsnummer: | 130/2023 |
Dato: | 30-10-2023 |
Ankenævn: | Henrik Waaben, Morten Winther Christensen, Mette Lindekvist Højsgaard, Jacob Ruben Hansen og Kim Korup Eriksen |
Klageemne: | Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger Afvisning - bevis § 5, stk. 3, nr. 4 |
Ledetekst: | Indsigelse mod to korttransaktioner foretaget som en 3D Secure betaling ved godkendelse med MitID |
Indklagede: | Danske Bank |
Øvrige oplysninger: | |
Senere dom: | |
Pengeinstitutter |
Indledning
Indsigelse mod to korttransaktioner foretaget som 3D Secure betalinger ved godkendelse med MitID.
Sagens omstændigheder
Klageren var kunde i Danske Bank, hvor han havde en konto med et tilhørende Visa/Dankort -470.
Den 13. januar 2023 blev der med klagerens Visa/Dankort gennemført to kortbetalinger på hver 1.427,56 EUR og 7.254,90 NOK svarende til 10.618,72 DKK og 5.048,29 DKK fra klagerens konto i banken til to udenlandske betalingsmodtagere D og E.
Banken har fremlagt to udskrifter fra Nets. Af den ene fremgår følgende tekst, som blev sendt til klagerens MitID i forbindelse med godkendelsen af betalingen på 1.427,56 EUR:
”Betal 1427,56 EUR til [betalingsmodtager D] fra kort [xxx470].”
Af den anden udskrift fremgår, at følgende tekst blev sendt til klagerens MitID i forbindelse med godkendelsen af betalingen på 7.254,90 NOK:
”Betal 7254,90 NOK til [betalingsmodtager E] fra kort [xxx470].”
Banken har oplyst, at transaktionerne var korrekt registreret og bogført.
Den 15. januar 2023 gjorde klageren indsigelse mod betalingerne i en tro og love-erklæring, hvor han bestred, at han havde godkendt eller deltaget i ovennævnte transaktioner.
Den 16. januar 2023 sendte klageren en beskrivelse af forløbet til banken. Af denne fremgår:
”…
Jeg kom desværre til at reflektere på en mail udgivet sig for at være fra Yousee vedr. problemer med betalingskort – hvilket på sin vis var rigtigt iflg. Yousee egne oplysninger. Straks efter opdagede jeg den var mistænkelig, og reagerede straks ved at spærre mit kort, henvende mig til jer – der lukkede kortet helt, og hjalp mig oprettelse af indsigelse. Jeg har tilføjet meddelelsen i min spammappe – men har desværre/naturligvis også slettet den, så vedhæfte/videresende den til jer er ikke muligt. Dog har jeg vedhæftet et foto jeg [tog] fra skærmen under forløbet.
…”
Banken har oplyst, at banken den 17. januar 2023 godtgjorde klageren betalingerne med fradrag af 8.000 DKK. Klageren blev herefter godtgjort 7.667,01 DKK med valør den 13. januar 2023.
Den 17. januar 2023 gjorde klageren indsigelse overfor banken mod hæftelsen på 8.000 kr., da banken ikke havde stoppet overførslerne, selvom han havde kontaktet banken straks efter konstateringen af misbruget.
Den 9. februar 2023 meddelte klageren banken, at han under ingen omstændigheder havde oplyst sine personlige oplysninger, kontokort eller koder til nogen, og at han er meget opmærksom på ubekendte afsendere i sin mailboks.
Den 10. februar 2023 meddelte banken klageren, at han var blevet udsat for phishing, og at han derigennem var kommet til at foretage og godkende betalingerne. Banken var således forpligtet til at godtgøre ham betalingerne med fradrag af 8.000 DKK. Banken henviste herudover klageren til punkt 3.1 i bankens regler for Visa/Dankort, hvoraf det fremgår, at betalinger, som allerede er godkendt, ikke kan spærres, stoppes eller tilbagekaldes. Banken kunne derfor ikke stoppe betalingerne, selvom klageren reagerede hurtigt.
Den 13. februar 2023 meddelte banken klageren, at den havde fået besked om, at betalingsmodtager E havde refunderet 10.620,15 DKK direkte til klagerens konto den 10. februar 2023, hvorfor banken ville trække et beløb tilbage, idet den allerede har godtgjort ham den 17. januar 2023. Banken har oplyst, at forskellen på betalingen af 13. januar 2023 til betalingsmodtager D og refunderingen fra betalingsmodtager D skyldes en kursforskel.
Banken har oplyst, at den tilbageførte det tidligere godtgjorte beløb på 7.667,01 DKK, da indsigelsesbeløbet efter betalingsmodtager E’s refundering nu var 5.046,86 DKK og dermed under 8.000 DKK.
Klageren har fremlagt skærmprint af MitID-loginprocessen fra diverse hjemmesider. Af nogle skærmprint fremgår blandt andet, at 3D Secure autorisationen fejlede og af andre fremgår, at et bruger-id ikke eksisterer.
Parternes påstande
Den 14. februar 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal godtgøre ham betalingen til betalingsmodtager E på 5.048,29 DKK.
Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at han under ingen omstændigheder har oplyst sine personlige oplysninger til nogen.
Han har modtaget en e-mail, der fremstod at være fra Yousee, men han tilgik ikke indholdet via e-mailen, men i stedet via Yousees egen hjemmeside. Efter han konstaterede, at e-mailen var falsk, satte han den i sin spam-mappe og slettede den.
Han er meget opmærksom på svindel og mener ikke, at han bevidst har godkendt overførslerne ved egen hånd eller udvist grov uagtsomhed.
Han begriber ikke, at en betaling igennem diverse sikkerhedssystemer ikke kan stoppes ved en direkte henvendelse til banken, når banken oplyser, at overførslen endnu ikke er effektueret og stadig står i venteposition. Han anmodede banken om at stoppe overførslerne, inden overførslerne blev gennemført, men overførslerne blev trods dette alligevel gennemført. Banken har ved sin passivitet og manglende vilje været medvirkende årsag til, at overførslerne blev gennemført.
Han har tidligere haft uforklarlige hævninger og indsættelser på sin konto i banken, og han forstår ikke, hvorfor han står med bevisbyrden.
I junglen af sikkerhedssystemers oplysninger kan der i et uforvarende øjeblik nemt trædes forkert.
Danske Bank har til støtte for frifindelsespåstanden anført, at klageren har gjort indsigelse mod to betalinger, men at klageren har modtaget refundering fra betalingsmodtager D på 10.620,15 DKK, hvorfor klagebeløbet maksimalt kan udgøre betalingen på 5.046,96 DKK til betalingsmodtager E.
Klageren er via phishing kommet til at foretage og godkende betalingerne selv, hvorfor forholdet er omfattet betalingslovens § 100, herunder stk. 4 omhandlende klagerens egen hæftelse på 8.000 DKK.
Betalingerne blev godkendt med klagerens MitID, som er en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31, hvormed betalingerne blev korrekt godkendt med stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30,
Betalingerne blev godkendt via kundens MitID, hvori det klart og tydeligt fremgik for klageren, at betalingsmodtageren var betalingsmodtager E, og at beløbet udgjorde 7.254,90 NOK.
Betalingerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98.
Klageren har godkendt betalingerne, men burde have læst teksten i forbindelse med godkendelsen og burde dermed have undladt at godkende betalingerne. Klageren opdagede straks efter gennemførelsen, at e-mailen var mistænkelig, hvorfor han kunne have undgået at foretage betalingerne, hvis han havde givet e-mailen og godkendelsen i MitID behørig opmærksomhed, inden betalingerne blev gennemført.
Hvis klageren havde udvist en større grad af forsigtighed ved at læse teksten i MitID og været skeptisk over for e-mailen, så havde betalingerne været forhindret. Klageren befandt sig ikke i en presset situation, da han godkendte betalingerne med MitID.
Klageren har ved groft uforsvarlig adfærd muliggjort betalingerne, hvorfor han selv bør hæfte med 8.000 DKK, jf. betalingslovens § 100, stk. 4.
Banken har til støtte for afvisningspåstanden anført, at klagerens påstand om, at han ikke foretog betalingerne, ikke hænger sammen med det faktiske hændelsesforløb, herunder at betalingerne blev autoriseret med klagerens MitID.
En vurdering af sagen vil derfor kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. vedtægternes § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Den 13. januar 2023 blev klagerens betalingskort -470 anvendt til to betalinger til betalingsmodtagerne D og E på hver 1.427,56 EUR og 7.254,90 NOK, svarende til hhv. 10.618,72 DKK og 5.048,29 DKK. Betalingsmodtager D har refunderet klageren 10.620,15 DKK.
Banken har oplyst, at den omtvistede betaling med klagerens betalingskort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i klagerens MitID. Af en udskrift fra Nets fremgår, at følgende tekst blev sendt til klagerens MitID: ”Betal 7254,90 NOK til [betalingsmodtager E] fra kort [xxx470].”
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Ankenævnet finder endvidere, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).
Klageren har anført, at han ikke godkendte betalingen på 7.254,90 NOK svarende til 5.048,29 DKK. Banken har anført, at betalingen blev foretaget af klageren, idet betalingen blev gennemført ved brug af hans MitID.
Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter med op til 8.000 DKK, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.