Indsigelse mod at hæfte for op til 8.000 kr. af korttransaktion. Spørgsmål om aktivering/indrullering af MitID-app på svindlers enhed.

Sagsnummer:611/2023
Dato:15-10-2024
Ankenævn:Henrik Waaben, Bjarke L. Svejstrup, Karin Sønderbæk, Morten Bruun Pedersen og Jørgen Lanng
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for op til 8.000 kr. af korttransaktion. Spørgsmål om aktivering/indrullering af MitID-app på svindlers enhed.
Indklagede:Lån & Spar Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for op til 8.000 kr. af korttransaktion godkendt i MitID-app.

Sagens omstændigheder

Klageren var kunde i Lån & Spar Bank, hvor hun havde en konto med et tilknyttet Visa/dankort -2026.

Den 22. august 2023 blev klagerens Visa/dankort anvendt til en betaling til en udenlandsk betalingsmodtager, W, på 7.542,75 kr. Klageren kan ikke vedkende sig betalingen.

Banken har oplyst, at betalingen blev godkendt med sikkerhedsløsningen 3D Secure ved indtastning af kortoplysninger og ved godkendelse i MitID-app, og at transaktionen er korrekt registreret og bogført. Banken har endvidere oplyst, at det fremgår af en udskrift fra Nets, at følgende tekst blev præsenteret i MitID-app den 22. august 2023 kl. 19.09 ved godkendelse af betalingen:

”Betal 7542,75 DKK til [W] fra kort xx2026”

Den 24. august 2023 blev betalingen bogført på klagerens konto.

Klageren indgav indsigelse til banken og oplyste, at hun havde modtaget et par SMS'er, som så ud til at være fra MobilePay, om opdatering af sine betalingsoplysninger, at hun på SMS var blevet bedt om at bekræfte/oplyse sine betalingskort oplysninger eller personlige oplysninger, og at hun ikke havde foretaget købet. I sagen er fremlagt en SMS fra ”MobilePay” til klageren af 22. august 2023 kl. 19.03, hvoraf det fremgik:

”Det er nu tid til at verificere din MobilePay med MitID, for at fortsæt kunne bruge din MobilePay. Dette skal gøres inden 23/08. Opdatere via:

MitID-app.com

Banken har anført, at klageren afgav alle sine oplysninger samt swipede i sin MitID- app og enten godkendte købet eller adgang til oprettelse af MitID-app på en ny enhed. Banken har oplyst, at den ikke har adgang til MitID’s system eller RA-portalen.

Banken modtog i forbindelse med indsigelsen fra klageren en udskrift af klagerens MitID log. Af loggen fremgår blandt andet, at der den 21. august 2023 kl. 14.28 og den 22. august 2023 kl. 19.09 blev registreret ”App – autentificering lykkedes” med samme MitID identifikationsmiddel, nr.  -7882. Banken har forelagt loggen for sin datacentral, der ikke ud fra loggen kunne besvare om eller eventuelt hvordan, en eventuel indrullering/aktivering af ny MitID på svindlers enhed kunne ske.

Klageren har fremlagt SMS skærmprint af SMS-beskeder fra banken den 1. juli og 1. august 2023, hvor klageren fik sendt engangskoder til brug for to kontooverførsler på hver 9.800 kr.

Parternes påstande

Den 5. oktober 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Lån & Spar Bank skal tilbageføre beløbet på 7.542,75 kr. til hende.

Lån & Spar Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hun blev snydt af ”MobilePay” og fik taget 7.500 kr. Hun har ikke foretaget købet.

Hun plejer altid at få en SMS fra banken, når der er beløb over 1.000 kr., der er ved at blive hævet. Hun fik ingen beskeder fra banken og blev ikke på nogen måde advaret. Hun har vedhæftet skærmprint med beskeder fra banken. Hun fik i hele august ikke besked om, at beløb var i gang med at blive trukket. Hun fik kun besked om beløbet på 9.800 kr., som hun sendte for dagpleje.

Banken burde have advaret hende.

Lån & Spar Bank har til støtte for frifindelsespåstanden anført, at klageren klikkede på linket i SMS’en og videregav alle sine oplysninger i form af kortoplysninger samt de strengt personlige MitID-oplysninger. Klageren muliggjorde selv transaktionen ved at videregive sine strengt personlige oplysninger som MitID-login, kodeord og alle kortoplysninger.

Klageren burde have undersøgt SMS’en samt linket, klageren fik tilsendt inden afgivelse af alle sine oplysninger. Der var flere stavefejl i SMS’en, som fremstod mistænkelig og ikke valid.

Der advares mod denne svindelmetode på diverse medier, hjemmesider samt på bankens egen hjemmeside og netbank.

Faktum er, at købet blev godkendt med klagerens MitID løsning, og at teksten ”Betal 7542,75 DKK til [W] fra kort xx2026” fremgik af MitID app’en. Købet blev godkendt et par minutter efter, at klageren havde modtaget svindel-SMS’en.

Da klageren har oplyst, at hun ikke selv har godkendt købet i sin MitID-app, må en svindler have godkendt købet ved oprettelse af klagerens MitID-bruger på svindlers enhed. Uagtet fremgangsmåde kan svindlen kun være sket ved, at klageren afgav alle sine oplysninger og enten swipede i sin MitID-app og godkendte købet eller godkendte, at en svindler kunne oprette klagerens MitID løsning på svindlers egen enhed, hvorefter svindler godkendte købet. Da banken ikke kan indhente en fyldestgørende MitID transaktionslog, og da klageren ikke har fremlagt en fyldestgørende log, er det ikke muligt for banken præcist at vide, hvad der er sket.

Betalingslovens § 100, stk. 4, nr. 3, finder anvendelse. Klageren har ved at videregive sine MitID-oplysninger og kortoplysninger ved groft uforsvarlig adfærd muliggjort transaktionen, jf. betalingslovens § 100, stk. 4, nr. 3. Klageren hæfter derfor for 8.000 kr. af tabet.

Lån & Spar Bank har til støtte for afvisningspåstanden anført, at Ankenævnet bør afvise sagen, jf. § 5, stk. 3, nr. 4, i Ankenævnets vedtægter, da det kun vil være muligt at træffe afgørelse i sagen, hvis klageren og eventuelle vidner under strafansvar afgiver mundtlige parts- og vidneforklaringer. Dette kan ikke ske for Ankenævnet, men må i givet fald ske ved domstolene.

Ankenævnets bemærkninger

Klageren var kunde i Lån & Spar Bank, hvor hun havde en konto med et tilknyttet Visa/dankort -2026.

Den 22. august 2023 blev klagerens Visa/dankort anvendt til en betaling til en udenlandsk betalingsmodtager, W, på 7.542,75 kr. Klageren kan ikke vedkende sig betalingen.

Banken har oplyst, at betalingen blev godkendt med sikkerhedsløsningen 3D Secure ved indtastning af kortoplysninger og ved godkendelse i MitID-app, hvor teksten ”Betal 7542,75 DKK til [W] fra kort xx2026” blev præsenteret i MitID-app’en ved godkendelsen.

Om baggrunden for betalingen har klageren oplyst, at hun 22. august 2023 havde modtaget en SMS, som så ud til at være fra MobilePay, om opdatering af sine betalingsoplysninger. Hun har ikke foretaget købet.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeau-tentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Banken har anført, at klageren afgav sine oplysninger og enten selv godkendte den ikke-vedkendte betaling eller medvirkede til aktivering af et MitID-identifikationsmiddel på svindlerens enhed, hvorefter svindleren har kunnet godkende den omtvistede transaktion.

Ankenævnet finder, at en afklaring af de nærmere omstændigheder omkring forløbet, herunder godkendelsen af betalingen og eventuel aktivering af klagerens MitID på tredjemands enhed, forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.