Indsigelse mod at hæfte for 8.000 DKK af korttransaktioner. Aktivering/indrullering af MitID på svindlers enhed.

Sagsnummer:644/2023
Dato:06-05-2024
Ankenævn:Vibeke Rønne, Jonas Thestrup Nielsen, Nanna Vetter Viberg Nielsen og Elizabeth Bonde.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for 8.000 DKK af korttransaktioner. Aktivering/indrullering af MitID på svindlers enhed.
Indklagede:Ringkjøbing Landbobank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktioner. Aktivering/indrullering af MitID-identifikationsmiddel på svindlerens enhed.

Sagens omstændigheder

Klageren var kunde i Ringkjøbing Landbobank, hvor hun havde et MasterCard Debit  -994.

Den 31. august 2023 i tidsrummet 13:00:24 til 13:04:15 blev der foretaget tre korttransaktioner på i alt 15.300 PLN (polske zloty) svarende til 26.050,61 DKK til betalingsmodtager, T, som klageren ikke kan vedkende sig.

Banken har oplyst, at klageren inden den 31. august 2023 havde et aktivt MitID-identifikationsmiddel -031 installeret, som den 12. januar 2023 blev installeret på en iPhone 11. Banken har oplyst, at der ved anvendelse af MitID-identifikationsmiddel    -031 blev oprettet et nyt MitID-identifikationsmiddel -486. Banken har anført, at MitID-identifikationsmiddel -486 blev installeret ved indtastning af klagerens personlige bruger-id og en unik SMS-kode, som blev sendt til et telefonnummer og e-mailadresse, som var tilknyttet klagerens MitID-identifikationsmiddel -031, samt godkendt to gange med klagerens MitID-Identifikationsmiddel -031 med en times mellemrum mellem hver godkendelse.

Banken har fremlagt en redegørelse af forløbet, samt en udskrift af klagerens MitID-log af den 31. august 2023, hvoraf fremgår:

Dato/Tidspunkt

Handling

Afsendt advisering/notifikation

Enhed anvendt/Anvendt MitID-identifikationsmiddel/Godkendelsestekst i MitID-app

31. august 2023 / kl. 11:38

Givet adgang til, at der kan logges på MitID.dk

Derved vil fremmede kunne få adgang til at bede om at foretage ændringer.

Der blev anmodet om oprettelse af et nyt MitID identifikationsmiddel, og der blev sendt den besked, som fremgår af kolonnen til højre.

Du har bedt om adgang til at ændre oplysninger på MitID.dk og kan logge på om 1 time.

Har du ikke bedt om adgang? Ring til MitID support +45 33980010.

[-031] / Godkend følgende? ”Log på hos MitID.dk for at se eller ændre i din MitID profil”

31. august 2023 / kl. 12:39

(autogenereret notifikation)

Du har nu adgang til at logge på MitID.dk og ændre oplysninger i 24 timer.

Har du ikke bedt om adgang? Ring til MitID support + 45 33980010.

 

31. august 2023 / kl. 12:44

Indlogning på MitID

Derved vil fremmede kunne få adgang til at bede om at foretage ændringer.

Der blev anmodet om oprettelse af et nyt MitID identifikationsmiddel

 

[-031] / Godkend følgende? ”Log på hos MitID.dk for at se eller ændre i din MitID profil”

31. august 2023 / 12:45

Der afsendes sms kode til Klagers registrerede telefonnummer ved MitID (telefonnummer [-735]).

Midlertidig pinkode til MitID app: [xxx]

VIGTIGT! Del aldrig denne kode med andre. Heller ikke med én som påstår at komme fra banken eller supporten.

 

31. august 2023 / kl. 12:46

PIN kode indtastes

 

 

31. august 2023 / kl. 12:46

Nyt MitID aktiveret MitID-identifikationsmiddel med serienummer [-486]

 

 

Klageren har fremlagt et skærmbillede af en SMS-korrespondance med nogen, der fremstod som at være Guloggratis, hvoraf fremgår:

”…

  • Køber har betalt for leveringen. Få dine penge: [link]
  • Dine betalingsoplysninger er ved at blivebehandlet. Du kan forvente flere oplysninger via SMS inden for en time.
  • Verifikation af betalingsoplysninger er gennemført. Bekræft venligst modtagelsen igen: [link]
  • Du har modtaget et svar fra et medlem af den tekniske support: [link]
  • Du har modtaget et svar fra et medlem af den tekniske support: [link]
  • Verifikation af betalingsoplysninger er gennemført. Bekræft venligst modtagelsen igen: [link]

Banken har fremlagt en udskrift af transaktionsoplysninger for de ikke vedkendte transaktioner, hvoraf det blandt andet fremgår, at godkendelsen af transaktionerne skete ved 3-D Secure. Banken har anført, at de ikke vedkendte betalinger blev godkendt med MitID-identifikationsmiddel -486, som blev installeret den 31. august 2023, og at betalingstransaktionerne er korrekt registreret og bogført og ikke har været ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98.  

Klageren gjorde indsigelse mod transaktionerne overfor banken. Klagerens forældre sendte på hendes vegne en e-mail af 31. august 2023 til betalingsmodtager T, hvoraf blandt andet fremgår:

”… My daughter has been the victim of a fraud, where her personal account has been emptied by a person.

The money from her account has been reserved in attempt to use them for some services provided by [T], but has not yet been drawn from the locked account.

We kindly request that [T] do not draw these money which has been reserved.

The incident has been reported to the police and will be treated and investigated as a case of fraud.

…”

Klageren har oplyst, at betalingsmodtager T trods e-mail af 31. august 2023 gennemførte transaktionerne.

Banken godtgjorde klageren tabet fratrukket 8.000 DKK.

Den 23. oktober 2023 har klageren indbragt sagen for Ankenævnet.

Klageren har indsendt sin beskrivelse af hændelsesforløbet, heraf fremgår:

”…

Jeg fik en sms fra ”Guloggratis” hvor der stod ”Køber har betalt for leveringen. Få dine penge: (link).

Jeg følger linket og kommer til en side der fuldstændig ligner gul og gratis og som viser min egen salgsopstilling for de DVD’er jeg havde til salg. Jeg kunne se billederne jeg havde lagt op, prisen og den beskrivelse jeg havde lavet af varen. På siden kunne jeg trykke ”Få dine penge” hvilket jeg gjorde. Jeg har aldrig før sat noget til salg over nettet heller ikke på Gul og gratis, og havde derfor ikke nogen ide om at betalingen ikke foregik igennem dem.

Jeg kommer ind på en kortbetalingsside, der i sin udførelse ligner en hver anden side som kommer frem når man skal betale noget med kort over nettet. Der er derudover en support linje (beskedfelt) ude i siden, hvor en besked lyder at en kvinde (der er fuldt navn, som jeg dog ikke kan huske) som bor på en adresse (den fulde adresse var også anført – det var et sted i Valby) havde købt min vare og betalt for leveringsomkostningerne. Jeg skulle indtaste mine kortoplysninger for at kunne modtage pengene. Beløbet jeg skulle modtage var 110 kr.

Jeg indtaster mine kortoplysninger, og bliver bedt om at verificere med MitId, som man jo altid gør når der er tale om transaktioner over nettet. Da jeg indtil videre har gjort alt dette over min telefon, kommer QR koden som jeg skulle scanne for at verificerer med MitId også på min telefon. Dette giver jo så lidt problemer da jeg ikke kan scanne en QR kode på min telefon MED min telefon. Derfor er min første reaktion at se om man ikke bare kan gå ind på Mitid.dk og verificerer en forespørgsel derfra. Det gør jeg på min Ipad og logger ind på Mitid.dk, og finder jo hurtigt ud af at det kan man ikke.

Herefter sender jeg mig selv linket til betalingen over mail, så jeg i stedet kan åbne det hele på computeren, og have min telefon fri til at scanne QR koden. Det gør jeg, og får til sidst et ”sikkerhedsspørgsmål” som skal verificerer at det er mit kort (går jeg ud fra). Spørgsmålet er hvem min bank er, og jeg skriver det. Jeg bliver nu bedt om at vente en time mens hjemmesiden verificerer og godkender mine oplysninger. I alt den tid jeg har været ved at taste ting ind får jeg løbende beskeder om hvad jeg skal gøre trin for trin ude i support beskedlinjen. I timen jeg venter er der en nedtælling på min skærm, så jeg kan følge med. I løbet af timen får jeg også en besked fra Mitid om at nogen har ansøgt om at lave ændringer i Mitid. Dette ignorer jeg fordi jeg tror at beskeden hentyder til at jeg jo selv lige har været inde på MItid.dk (ligesom når man får besked fra Google når man logger ind fra en anden enhed).

Efter timen er gået står der at de ikke kunne få fat i min bank og at jeg skal prøve med et andet kort. Jeg beslutter i stedet at prøve igen med det samme kort, da jeg ikke har andre kort, og desuden regner med at det måske bare er mig der har lavet en tastefejl eller lign. Da jeg skriver mine kortoplysninger ind igen, og godkender med MitId igen, står der at det var alt, og at jeg snart ville modtage mine penge. Jeg modtager desuden løbende SMS’er løbende fra samme sted jeg modtog den første, hvor der står hvad der foregår.

Jeg får blandt anden en besked om at mine betalingsoplysninger er ved at blive behandlet og at jeg kan forvente en SMS med yderligere informationer indenfor en time, og jeg får en SMS hver gang ”et medlem af teknisk support” har skrevet i supportbeskedlinjen.

Fordi jeg er nysgerrig og ivrig efter at se hvornår mine penge kommer, går jeg næsten direkte ind på min mobilbank, og kan konstatere at størstedelen af beløbet der stod på min opsparingskonto er blevet rykket til min kortkonto, og at der er blevet trukket to beløb fra min kortkonto. Jeg ringer i panik til min mor, som siger at jeg skal kontakte banken med det samme. Det gør jeg og mit kort bliver spærret, men ikke før et tredje beløb er blevet trukket. Fra jeg opdager at de første to beløb er blevet trukket til at jeg ringer til banken, går der ikke 5 min.

Mine forældre snakker med banken, som siger at vi ikke kan gøre mere ved det, før pengene (som jo kun er reserverede fra min konto) reelt bliver trukket. Indtil da kan vi prøve at skrive til dem der har modtaget pengene ([betalingsmodtager T]). Vi skriver en besked til dem, om at der har foregået svindel og spørger dem om de ikke vil lade være med at trække pengene. Mine forældre ringer til politiet, og får at vide at vi skal lave en anmeldelse. De ringer også til [betalingsmodtager T] flere gange, men får en polsk telefonsvarer hvorefter de opgiver. Vi skriver en politianmeldelse af svindlen. Vi forsøger derudover at gøre indsigelse, men dette kan man først når pengene er trukket. Alt dette gør vi inden for timer af at svindlen er foregået.”

Parternes påstande

Den 23. oktober 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Ringkjøbing Landbobank helt eller delvist skal tilbagebetale 8.000 DKK til hende.

Ringkjøbing Landbobank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at banken har pålagt klageren den maksimale selvrisiko, som kun teoretisk kan komme på tale under usædvanlige forhold, hvor der ikke foreligger formildende omstændigheder. Dette er ikke fair.

Svindlerne har topprofessionelt kopieret en hjemmeside og derefter narret hende til at anvende MitID via beskeder, som til forveksling ligner beskeder, som Nets kunne have sendt. Hun henvendte sig straks til banken, da hun opdagede, at der var tale om svindel og udviste derved ansvarlighed. Hun udleverede ikke sit betalingskort eller pinkode. Svindlerne fik adgang til hendes konti via en falsk hjemmeside og falske beskeder, som fremstod som værende fra Nets. Hun kontaktede straks betalingsmodtager T, som svindlerne har overført et beløb til, for at få dem til at stoppe overførslerne, hvilket T valgte ikke at imødekomme.

Handlingerne, som hun havde foretaget, var ikke uforsvarlige. Hun har slet ikke handlet groft uforsvarligt, da hun alene har handlet i god tro. Hendes handlinger berettiger ikke en opkrævning af 8.000 DKK, men i stedet et mindre beløb.

Svindlen har alvorligt svækket tilliden til de systemer, der skulle beskytte mod svindel. Det er forkert af banken, at den ikke har algoritmer for robotter, der kunne fange og standse den usædvanlige adfærd på hendes konti. Banken havde ikke i samarbejde med hende opsat kriterier for hendes brug af kontoen og hun var en ny bruger, som banken kunne have instrueret bedre forud for hændelsen.

Oplevelsen har gjort hende utryg. Hun føler sig straffet og udskældt.

Ringkjøbing Landbobank har til støtte for frifindelsespåstanden anført, at klageren har anvendt stærk kundeautentifikation jf. betalingslovens § 7, nr. 30 ved brug af et eksisterende MitID-identifikationsmiddel til oprettelse og aktivering af et nyt MitID-identifikationsmiddel den 31. august 2023.

Da pålogning skete på, og godkendelsesanmodningen vedrørende et nyt MitID-identifikationsmiddel blev sendt til en enhed, hvor klagerens MitID-identifikationsmiddel -031 var installeret, kan det kun være klageren selv, der har foretaget en fysisk swipe-bevægelse i forbindelse med godkendelse af oprettelse af MitID-identifikationsmiddel -486.

Inden oprettelsen af MitID-identifikationsmiddel -486 blev der sendt advarselsnotifikationer til klagerens registrerede telefonnummer og e-mailadresse. Herudover skulle der gå minimum en time, inden endelig installering kunne foretages.

Klageren videregav selv sine kortoplysninger. Klageren videregav selv den unikke SMS-kode, som blev sendt til hendes telefonnummer. Af SMS-beskeden fremgår, at man aldrig måtte dele koden med andre. Heller ikke til én som påstår at være fra banken eller supporten. Klageren anerkendte selv i sin beskrivelse af hændelsesforløbet at have ignoreret beskeder fra MitID angående ændringer i MitID.

Transaktionerne blev godkendt med stærk kundeautentifikation, hvorfor transaktionen ansås for at være godkendt af klageren selv. Transaktionerne blev derfor ikke stoppet af bankens algoritmer.

Klageren muliggjorde ved videregivelsen af sine kortoplysninger og unikke SMS-kode gennemførsel af de transaktioner, som klageren har gjort indsigelse mod. Transaktionerne er godkendt med MitID-identifikationsmiddel -486 og dermed med 3D Secure. Klageren har derved udvist en adfærd, som kan betegnes som værende groft uforsvarlig, hvorfor banken var berettiget til at dække klagerens tab med fradrag af 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.

Banken har til støtte for afvisningspåstanden anført, at Ankenævnet bør afvise at behandle klagen, idet behandlingen forudsætter en yderligere bevisførelse i form af parts- og vidneafhøringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, hvorfor sagen bør afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Ringkjøbing Landbobank, hvor hun havde et MasterCard Debit  -994.

Den 31. august 2023 i tidsrummet 13:00:24 til 13:04:15 blev der foretaget tre kort-transaktioner på i alt 15.300 PLN (polske zloty) svarende til 26.050,61 DKK til betalingsmodtager, T, som klageren ikke kan vedkende sig.

Klageren har anført, at der var tale om svindel. Handlingerne, som hun havde foretaget, var ikke uforsvarlige. Hun har slet ikke handlet groft uforsvarligt, da hun alene har handlet i god tro. Hendes handlinger berettiger ikke en opkrævning af 8.000 DKK, men i stedet et mindre beløb.

Banken har anført, at klageren har anvendt stærk kundeautentifikation jf. betalingslovens § 7, nr. 30 ved brug af et eksisterende MitID-identifikationsmiddel til oprettelse og aktivering af et nyt MitID-identifikationsmiddel den 31. august 2023. Da klageren valgte at godkende de meddelelser, som hun blev præsenteret for i Mit-ID og at udlevere SMS-koden trods tydelig besked om, at denne aldrig måtte blive delt, har hun udvist groft uforsvarlig adfærd. Banken er derfor berettiget til at dække klagerens tab med fradrag af 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket heller ikke er bestridt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Vibeke Rønne, Jonas Thestrup Nielsen og Nanna Vetter Viberg Nielsen – udtaler:

Efter sagens omstændigheder og af de grunde, som banken har anført, finder vi at det må lægges til grund, at klageren den 31. august 2023 har godkendt aktiveringen af et nyt MitID-identifikationsmiddel på tredjemands enhed med sin MitID, og at en svindler herved har kunnet foretage de omtvistede transaktioner.

Vi finder, at banken herved har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. Klageren skal som følge heraf hæfte med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

Et medlem – Elizabeth Bonde, der i medfør af Ankenævnets vedtægter § 16, er tillagt to stemmer – udtaler:

Jeg finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Jeg finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have handlet som sket.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, der muliggør misbruget.

Jeg finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Jeg finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.

Jeg stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.