Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagsnummer:233/2024
Dato:17-01-2025
Ankenævn:Kristian Korfits Nielsen, Inge Kramer, Karin Sønderbæk, Tina Thygesen og Kim Korup Eriksen.
Klageemne:Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Indklagede:Nykredit Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Nykredit Bank, hvor hun blandt andet havde en konto med et tilknyttet betalingskort.

Den 29. februar 2024 blev der gennemført en kortbetaling på 1.417,90 EUR svarende til 10.675,53 DKK med klagerens betalingskort til en udenlandsk betalingsmodtager, betalingsmodtager C, som klageren ikke kan vedkende sig.

Klageren har anført, at hun havde modtaget en e-mail, der fremstod som værende fra Proshop. Af e-mailen fremgik, at hun havde vundet en præmie, og at hun skulle betale 39 DKK i fragt, hvilket hun gjorde. Hun tjekkede inden godkendelsen, at der stod 39 DKK på hendes mobiltelefon. Beløbet må have ændret sig til 1.417,90 EUR, da hun var i gang med at swipe. Hun fik få minutter efter mistanke og kontaktede banken, der meddelte, at den ikke kunne annullere betalingen.

Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app. Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf blandt andet fremgår, at der den 29. februar 2024 blev registreret ”autentificering lykkedes” med MitID-app -4920, som var aktiveret den 9. november 2021. Banken har fremlagt en udskrift fra sit system med teksten, der blev sendt til MitID-app i forbindelse med godkendelsen af betalingen. Af teksten fremgik:

”Betal 1417,90 EUR til [betalingsmodtager C] fra kort xx8643”

Banken har oplyst, at transaktionen var korrekt registreret og bogført.

Den 4. marts 2024 indgav klageren indsigelse mod betalingen over for banken. I forbindelse med indsigelsen anførte klageren:

”… Jeg er blevet snydt online. Jeg gennemførte torsdag den 29 februar 2024 en kundeundersøgelse ved proshop.dk, et sted jeg ofte handler uden problemer, hvor man kunne vinde en gratis gave. og siden var umiddelbart helt identisk med den rigtige proshop.dk. Jeg skulle betale 39 kr i fragt, betaler og godkender med MitId. Her regner jeg jo så med at jeg er sikker, idet overførslen skal godkendes med MitId. Fuldstændig som jeg er vant til hos prishop.dk Jeg ringer straks til Nykredit kundeservice og får mit kort spærret samme dag den 29/2 (kort efter hændelsen), idet jeg ikke får nogen ordrebekræftigelse, og bliver mistænksom. Ringer til den ægte proshop.dk , som fortæller, at flere kunder har ringet i panik, idet websiden fuldstændig ligner deres hjemmeside, og endda har mitId godkendelse ved betaling. Idag mandag den 4 marts, er der så blevet trukket 1417,90 euro på min konto, 10675,53 danske kroner af [betalingsmodtager C]. Her stod heller ikke noget om euro da jeg skulle betale de 39 kr i fragt. …”

Banken godtgjorde klagerens tab med fradrag af 8.000 DKK og tilbageførte 2.675,53 DKK til klagerens konto.

Banken har fremlagt sine brugerregler for Visa/Dankort, hvoraf det blandt andet fremgår:

”…

3.1 Betaling

Inden du godkender en betaling eller en hævning, skal du altid sikre dig, at beløbet er korrekt. Betalinger, som du har godkendt, kan ikke tilbagekaldes. …”

Parternes påstande

Den 18. april 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Nykredit Bank skal godtgøre hende 8.000 DKK eller nedsætte selvrisikoen til et langt lavere beløb.

Nykredit Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hun blev snydt ved betaling i en nethandel. Hun fik en mail fra nogle, der udgav sig for at være Proshop. Alt så rigtigt ud og lignede den Proshop, hun ofte handler i uden problemer. Der stod, at hun havde vundet en præmie og skulle betale de 39 DKK i fragt. Dette gjorde hun og tjekkede på sin
mobiltelefon, inden hun godkendte betalingen på de 39 DKK med MitID. Beløbet må have ændret sig fra 39 DKK til 1.417 EUR i det øjeblik, hun var i gang med at swipe for at godkende betalingen. Hun fattede mistanke få minutter efter, da hun forgæves ledte efter ordren/betalingen i den ægte Proshop.

Hun ringede straks til banken, og anmodede den om at annullere betalingen. Banken sagde, at dette ikke var muligt, hvilket undrer hende. Hun fik spærret sit kort og indgav indsigelse.

Hun har ikke handlet uforsvarligt. Hun var meget forsigtig og dobbelttjekkede, hvad der stod på hendes mobiltelefons skærm, inden hun swipede for en godkendelse af, hvad der så ud til at være 39 DKK og ikke 1.417,90 EUR.

Hun forstår ikke, hvorfor betalingen ikke kunne standses, når hun kontaktede banken med det samme. Hun forstår heller ikke, hvordan svindlerne kunne snyde med MitID.

Nykredit Bank har til støtte for frifindelsespåstanden anført, at betalingen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl som beskrevet i betalingslovens § 98, stk. 1.

Klageren bør ikke få medhold, eftersom klageren selv har godkendt betalingen i sin MitID-app.

Betalingstransaktionen har været underlagt stærk kundeautentifikation. Af MitID-appen fremgik teksten ”Betal 1417,90 EUR til [betalingsmodtager C] fra kort xx8643”, hvorefter klageren swipede godkend til betalingstransaktionen. Klageren har ved groft uforsvarlig adfærd muliggjort misbruget som beskrevet i betalingslovens § 100, stk. 4, nr. 3. Det lægges til grund, at der er tale om et typisk tilfælde af phishing, hvor klageren var bragt i vildfarelse med falske oplysninger på mail, men korrekte oplysninger i MitID appen. Phishing sager som denne har tidligere været behandlet i Ankenævnet (sag 145/2023 og 115/2023).

Der er ikke noget, der tyder på, at der er oprettet en MitID-app på andre telefoner eller elektroniske devices end klagerens egen telefon.

Det er ikke muligt at standse en betalingstransaktion, når den først er godkendt. Dette fremgår tillige af bankens brugerregler for Visa/Dankort, jf. pkt. 3.1.

Nykredit Bank har til støtte for afvisningspåstanden anført, at såfremt Ankenævnet ikke finder det bevismæssigt godtgjort, at klageren selv godkendte overførslen ved at swipe i MitID-appen, vil en yderligere afklaring af sagen forudsætte en bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Nykredit Bank, hvor hun blandt andet havde en konto med et tilknyttet betalingskort.

Den 29. februar 2024 blev der gennemført en kortbetaling på 1.417,90 EUR svarende til 10.675,53 DKK med klagerens betalingskort til en udenlandsk betalingsmodtager C, som klageren ikke kan vedkende sig.

Klageren har oplyst, at hun havde modtaget en e-mail, der fremstod som værende fra Proshop. Af e-mailen fremgik, at hun havde vundet en præmie, og at hun skulle betale 39 DKK i fragt, hvilket hun gjorde. Hun tjekkede inden godkendelsen, at der stod 39 DKK på hendes mobiltelefon. Beløbet må have ændret sig til 1.417,90 EUR, da hun var i gang med at swipe.

Banken har anført, at kortbetalingen den 29. februar 2024 blev godkendt med stærk kundeautentifikation i klagerens MitID, og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 1417,90 EUR til [betalingsmodtager C] fra kort xx8643”.

Banken godtgjorde klagerens tab med fradrag af 8.000 DKK og tilbageførte 2.675,53 DKK til klagerens konto.

Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter den var godkendt, uanset tidspunkt for den efterfølgende spærring af betalingskortet og debitering af beløbet på klagerens konto.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Kristian Korfits Nielsen, Inge Kramer og Karin Sønderbæk – udtaler:

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 1.417,90 EUR til betalingsmodtager C i sin MitID.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, hvor hun fik oplysninger om beløbet i udenlandsk valuta og beløbsmodtageren, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Tina Thygesen og Kim Korup Eriksen – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, banken skal tilbageføre 7.625 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.