Sagsnummer: | 429/2023 |
Dato: | 19-03-2024 |
Ankenævn: | Helle Korsgaard Lund-Andersen, Inge Kramer, Andreas Moll Årsnes, Morten Bruun Pedersen og Poul Erik Jensen. |
Klageemne: | Betalingstjenester - spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger |
Ledetekst: | Indsigelse mod at hæfte for op til 8.000 kr. af korttransaktion. Aktivering/indrullering af MItID-app på svindlers enhed. |
Indklagede: | Nordea Danmark |
Øvrige oplysninger: | |
Senere dom: | |
Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion. Aktivering/indrullering af MitID-app på svindlers enhed.
Sagens omstændigheder
Klageren var kunde i Nordea Danmark, hvor han blandt andet havde en konto med et tilknyttet Visa/dankort.
Den 3. juli 2023 kl. 22:21 blev der foretaget en korttransaktion med klagerens betalingskort på 1.001 USD til en udenlandsk betalingsmodtager, F, som klageren ikke kan vedkende sig. Af en transaktionsliste fra Nets fremgår, at korttransaktionen blev godkendt med 3D Secure.
Den 6. juli 2023 blev der trukket 6.960,48 DKK på klagerens konto, og han gjorde herefter indsigelse mod transaktionen over for banken. Han anførte i indsigelsen, at der var tale om ”Scam fra den 4/7 i forbindelse med en DAO forsendelse”.
I et brev af 7. juli 2023 til klageren anførte banken blandt andet:
”Svar på din indsigelse
Vi skriver til dig, fordi vi nu har behandlet din indsigelse mod 6.960,48 kr.
Vi har undersøgt betalingen, som du gør indsigelse mod, og vi kan se, at den er godkendt ved brug af MitID app. Det vil sige, at der i forbindelse med købet er indtastet dine kortoplysninger, hvorefter købet er bekræftet via MitID app. Vi har en formodning om, MitID app'en var installeret på en enhed, som ikke er din egen.
Du har tilsyneladende været udsat for svindel
I din forklaring oplyser du, at du har modtaget en falsk henvendelse omkring en vare, du havde til salg på internettet.
Når en svindler henvender sig enten via falske e-mails, sms’er eller opkald, virker det ofte troværdigt, og det kan være meget svært at gennemskue svindlen eller genkalde sig, hvad der er sket.
Du har en selvrisiko, når dine personlige sikkerhedsløsninger er anvendt
Vi kan se, at du med din egen MitID app den 3. juli 2023 har godkendt installationen af en ny MitID app på en fremmed enhed, hvorfra betalingen er godkendt. Det gjorde du ved at godkende to logins på MitID.dk samt ved at udlevere en midlertidig PIN-kode, som blev sendt til dig på sms.
Det er desværre sådan, at når du selv godkender en installation af en ny MitID app, så har du en selvrisiko, som udgør 8.000 kr.
I dit tilfælde er selvrisikoen større end det beløb, du gør indsigelse imod, og vi beklager at måtte meddele dig, at vi derfor ikke kan imødekomme din indsigelse.
…”
Herefter klagede klageren til banken over afgørelsen. Banken fastholdt afvisningen. I en mail af 14. juli 2023 til banken anførte klageren blandt andet:
”… Dog har jeg ikke på noget tidspunkt været klar over at jeg har været ved at give svindler adgang til min konto. Alt hvad jeg foretog mig via ”DAOs” hjemmeside [omhandlede] handlen. Det ville [være] fair hvis afgørelsen lød at beløbet som jeg godkendte ikke var dækket, men de sidste små 6000,- er der ikke meget logik i.
…
… Håber virkeligt I genovervejer afgørelsen. Forventede ikke at få dækket hele beløbet, da jeg jo selv havde godkendt 1019,-
…”
Banken fastholdt fortsat afvisningen af klagerens indsigelse.
Den 20. juli 2023 indbragte klageren sagen for Ankenævnet.
I klagen til Ankenævnet oplyste klageren følgende om sagsforløbet:
”I forbindelse med en handel på markedsplace på Facebook. Hvor jeg sælger sønnen[s] gamle hockey udstyr "opretter" køber en DAO transport. Det viser sig så at være et scam, hvor jeg i stedet for at modtage 1019 kr bliver trukket 6960,- Tager kontakt til Banken samme aften som [jeg] finder ud af der er noget muggen[t] ved denne hand[el]. Sker da Nets automatisk spærre kortet d. 3 Juli 2023.
Sammen med banken vælger vi at få lukket alle konti og MitID. Får at vide jeg skal holde øje med og der blive trukket nogle beløb vi ikke kendte noget til. Det gjorde der 4 dage senere. Hvorpå der blev oprettet indsigelse på beløbet, som banken selv havde rådet os til at gøre.
Efterfølgende afvises indsigelsen med begrundelsen at jeg har udvist groft uforsvarligt adfærd og henviser til deres regler, hvor det fremgår at der er en selvrisiko på 8000,- i sådanne tilfælde.”
Klageren har fremlagt en udskrift af de SMS’er, som han modtog den 3. juli 2023, der fremtrådte som om de kom fra DAO. Af en SMS, som klageren modtog kl. 20:36, fremgik:
”Køber har betalt for leveringen. Få dine penge: [link]”
Af en SMS, som klageren modtog kl. 22:02, fremgik:
”Verifikation af betalingsoplysning er er gennemført. Bekræft venligst modtagelsen igen. [link]”.
Endvidere har klageren fremlagt udskrifter af nogle skærmbilleder, som han fik præsenteret i forbindelse med svindlen, blandt andet vedrørende en transaktion på 1.019 kr. påført DAO.
Banken har oplyst, at der den 3. juli 2023 blev aktiveret en ny MitID-app på en fremmed enhed, som blev godkendt med klagerens MitID-app.
Banken har fremlagt en oversigt over de generiske, men ufravigelige tekster, der fremkommer ved indrullering af en ny MitID-app:
Kundens deltagelse |
Godkendelse i MitID-app |
Godkendelse i MItID-app |
Brugernavn til MitID udleveres af kunden Kunden godkender 2 gange i egen MitID-app
|
Log på hos MItID.dk for at se eller ændre i din MitID profil Besked i MitID-app til kunden samt SMS: Du har bedt om adgang til at ændre oplysninger på MitID.dk og kan logge på om 1 time. Har du ikke bedt om adgang ? Ring til MitID support på +45 33980010. Efter 1 time: Besked i MitID-app til kunden samt SMS Du har nu adgang til at logge på MitID.dk og ændre oplysninger i 24 timer. Har du ikke bedt om adgang ? Ring til MitID support på +45 33980010. |
Log på hos MItID.dk for at se eller ændre i din MitID profil Besked til kunden via SMS: Midlertidig PIN-kode til MitID app: xx xx xx xx (nummer) VIGTIGT: Del aldrig denne kode med andre. Heller ikke med en som påstår at komme fra banken eller support. Udleveres af kunden
|
Banken har fremlagt en udskrift fra bankens MitID-hændelseslog vedrørende klageren, hvoraf fremgår, at klagerens MitID havde et aktivt identifikationsmiddel med nummer -1656, samt at hans egen enhed var en iPhone 14.5. Endvidere fremgår:
Kortholder swiper 1. gang |
|
|
03-07-2023 21:03 |
Oplysninger – MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil |
Kritisk |
Kortholder swiper 2. gang |
|
|
03-07-2023 22:03 |
Oplysninger – MitID bruger tildelt adgang til at ændre oplysninger i MitID profil |
Kritisk |
Kortholder udleverer pinkode til svindler |
|
|
03-07-2023 22:10 |
Midlertidig PIN-kode - til MitID app valideret |
Information |
07-07-2023 22:08 |
Midlertidig PIN-kode – til MitID app sendt på SMS |
Information |
Ny nøgle app er nu aktiveret på svindlerens device |
|
|
03-07-2023 22:10 |
App (IOS-16.5.1) [nummer -3650] |
IPhone 12 mini |
Parternes påstande
Klageren har nedlagt påstand om, at Nordea Danmark som minimum skal betale forskellen mellem det godkendte beløb på 1.019 kr. og det trukne beløb på 6.960,48 DKK.
Nordea Danmark har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at han har været udsat for svindel, og at han ikke har handlet groft uforsvarligt. Han har ikke på noget tidspunkt været klar over, at han har været ved at give en svindler adgang til sin konto. Alt hvad han foretog sig via ”DAOs” hjemmeside omhandlede handlen.
Han kontaktede banken den 3. juli 2023 om aftenen, da Nets automatisk spærrede hans kort. Banken burde have stoppet og tilbagetrukket transaktionen, da den vidste, at der var begået økonomisk kriminalitet.
Nordea Danmark har anført, at den omhandlede betalingstransaktion blev korrekt registreret og bogført og ikke var ramt af tekniske svigt eller andre fejl.
Klagerens betalingskort blev brugt af tredjemand, og dette kunne kun ske ved, at klageren gennem sin MitID app godkendte indrulleringen af hans MitID app på tredjemands enhed. Det må lægges til grund, at klageren blev præsenteret for følgende tekst, idet dette er systemunderstøttet: ”Midlertidig PIN-kode til MitID app: xx xx xx xx (Nummer) VIGTIGT! Del aldrig denne kode med andre. Heller ikke med en som påstår at komme fra banken eller support.”
Herefter fulgte, at klageren via sin MitID-app godkendte indrullering af hans MitID app på tredjemands enhed. Han blev i godkendelsesbeskederne i MitID-appen tydeligt gjort opmærksom på, at det angik adgang til ændringer i hans MitID, samt at der var tale om en midlertidig pinkode, som under ingen omstændigheder måtte blive delt med nogen.
Trods disse tydelige angivelser om, hvad klageren var ved at godkende, valgte klageren at swipe til godkendelse heraf. Og med godkendelsen fulgte, at klagerens MitID nu var brugtbart på tredjemands enhed, og derfor ville kunne bruges af tredjemand, som havde klagerens MitID indrulleret på sin egen enhed.
Med henvisning til ovenstående, herunder særligt at 1) klageren valgte at godkende de meddelelser, som han blev præsenteret for i MitID-appen, og 2) klageren valgte at udlevere sin midlertidige pinkode trods tydelig besked om, at denne aldrig måtte blive delt, er dette at betragte som groft uforsvarlig adfærd, hvorfor banken var berettiget til at tage 8.000 DKK i selvrisiko, jf. betalingslovens § 100, stk. 4, nr. 3.
Ankenævnets bemærkninger
Klageren var kunde i Nordea Danmark, hvor han blandt andet havde en konto med et tilknyttet Visa/dankort.
Den 3. juli 2023 blev der foretaget en korttransaktion med klagerens betalingskort på 1.001 USD svarende til 6.960,48 DKK til en udenlandsk betalingsmodtager, F, som klageren ikke kan vedkende sig.
Klageren anførte i indsigelsesblanketten, at der var tale om ”Scam fra den 4/7 i forbindelse med en DAO forsendelse”.
Banken har anført, at klageren med sin MitID-app den 3. juli 2023 godkendte installation af en ny MitID-app på en fremmed enhed, hvorfra betalingen blev godkendt. Det forhold at 1) klageren valgte at godkende de meddelelser, som han blev præsenteret for i MitID-appen, og 2) klageren valgte at udlevere sin midlertidige pinkode trods tydelig besked om, at denne aldrig måtte blive delt, er at betragte som groft uforsvarlig adfærd, hvorfor banken var berettiget til at tage 8.000 DKK i selvrisiko, jf. betalingslovens § 100, stk. 4, nr. 3.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautenti-fikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket heller ikke er bestridt.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).
Tre medlemmer – Helle Korsgaard Lund-Andersen, Inge Kramer og Andreas Moll Årsnes – udtaler:
Vi lægger til grund, at klageren uforvarende har videregivet sine betalingskort- og MitID-oplysninger til tredjemand. Vi finder herefter, at det må lægges til grund, at klageren den 3. juli 2023 har godkendt aktiveringen af en ny MitID-app på tredjemands enhed i sin MitID-app, hvorved en svindler har kunnet foretage den omtvistede betaling.
Vi finder, at banken har godtgjort, at klageren derved ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. Klageren skal som følge heraf hæfte med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Morten Bruun Pedersen og Poul Erik Jensen – udtaler:
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have handlet som sket.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, der muliggør misbruget.
Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 6.585,48 DKK til klageren.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.