Indsigelse mod at hæfte for 8.000 DKK af korttransaktioner godkendt i MitID.

Sagsnummer:773/2023
Dato:21-10-2024
Ankenævn:Vibeke Rønne, Janni Visted Hansen, Karin Sønderbæk, Rolf Høymann Olsen og Ann-Mari Agerlin
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for 8.000 DKK af korttransaktioner godkendt i MitID.
Indklagede:Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktioner godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor han havde et Visa/dankort -7011.

Den 4. december 2023 i tidsrummet fra kl. 14.05 til kl. 14.19 blev der med klagerens Visa/dankort foretaget fem kortbetalinger på i alt 3.509,58 USD, svarende til i alt 24.279,53 DKK til en betalingsmodtager, V. Klageren kan ikke vedkende sig betalingerne.

Banken har oplyst, at betalingerne blev godkendt med stærk kundeautentifikation i klagerens MitID-app. Banken har fremlagt udskrifter fra Nets med teksterne, der blev sendt til MitID-app i forbindelse med godkendelserne af de fem betalinger. Af teksterne fremgik:

”Betal [beløb] USD til [V] fra kort xx7011.”

Banken har oplyst, at transaktionerne var korrekt registreret og bogført, og at betalingerne ikke var ramt af tekniske svigt eller andre fejl.

Om baggrunden for transaktionerne har klageren oplyst, at han havde en vare til salg på nettet. Han blev kontaktet af en køber, der ville betale for varen og forsendelsen via DAO. Køberen meddelte, at hun havde sendt pengene, og at han ville blive kontaktet af DAO. Han modtog en mail, der så ud til at være fra DAO, og indtastede information. Mailen var med en chatfunktion/assistent, som meddelte, at han skulle verificere sig, når der kom en push up meddelelse på hans skærm. Der kom intet på hans skærm. Assistenten meddelte, at de skulle prøve igen, hvilket skete måske fem gange. Han blev klar over, at der var tale om svindel, da assistenten anmodede ham om at forhøje beløbsgrænsen på hans Visa/dankort. Han lukkede straks sit kort og kontaktede banken, der oplyste, at der stod fem store beløb reserveret til V i Nigeria. Han anmodede forgæves banken om at stoppe disse transaktioner. Banken har oplyst, at klagerens Visa/dankort og MitID blev spærret den 5. december 2023.

Den 7. december 2023 blev betalingerne bogført på klagerens konto.

Den 7. december 2023 gjorde klageren indsigelse mod betalingerne. Banken har fremlagt mails, beskeder og print fra hjemmesiden, klageren var inde på, og som han sendte til banken modtog fra klageren i forbindelse med indsigelsen. I forbindelse med indsigelsen anførte klageren endvidere:

”… Jeg klikker på mailen og et nyt billede kommer, hvor jeg skal indtaste mit kortnummer … og derefter kommer billedet fra MitId hvor jeg skal verificere at det er mig som skal modtage pengene … Der sidder hele tiden en lille assistent på hjemmesiden …. Assistenten sagde flere gange at det ikke fungerede rigtigt og vi skulle prøve en gang til …”

Banken godtgjorde klagerens tab fratrukket 8.000 DKK.

Parternes påstande

Den 10. januar 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal tilbageføre 8.000 DKK til ham.

Danske Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har blandt andet anført, at han tilsyneladende har givet svindlerne mulighed for at stjæle pengene og tilsyneladende har godkendt med MitID. Han mener ikke at have godkendt de stjålne beløb. Svindlerne må have hacket og taget kontrol med hans telefon for at kunne godkende beløbene i dollars. Han har aldrig givet de tilladelser, som de fremlagte udskrifter viser. Han kunne aldrig drømme om at udlevere MitID. Andre må have givet tilladelserne i MitID.  Når han godkender en transaktion, skal det lille hologram på hans skærm skal lægges over det, som er på hans mobil, og det har han aldrig set og gjort.

Han tjekkede køberens adresse og sagde okay til, at køberen kunne sende pengene som foreslået. Den modtagne mail var professionel og så ud til at være fra DAO. Han indtastede informationer om, hvor pengene skulle sendes til.

DAO skrev herefter, at hans oplysninger var under behandling og skulle verificeres. En assistent i mailen fra DAO oplyste, at han ville modtage et nummer i en push up besked på sin skærm til at verificere sig med. Der kom imidlertid intet hverken på skærmen eller hans mobil. Assistenten skrev, at de skulle prøve en gang mere, og efter måske fem gange skrev assistenten, at han skulle gå ind på sit Visa/dankort og hæve beløbsgrænsen. På det tidspunkt forstod han, at han var ved at blive svindlet.

Han ringede til DAO, der oplyste, at de ikke havde den af køberen påstående service. Han gik straks på netbank og lukkede sit Visa/dankort og ringede derefter til banken og anmodede den om stoppe transaktionerne.

Banken meddelte, at det ikke var muligt at stoppe transaktionerne, og at han skulle lave indsigelse på beløbene. Han forstår ikke, hvorfor banken ikke kunne gå ind og stoppe disse åbenlyse svindeltransaktioner. Pengene stod og ventede i tre dage, før de blev hævet. Hvad skete der i den tid? Han forstår ikke, at banken kunne finde på at sende hans penge, når han havde spærret sit kort, og banken kunne se, at der blev sendt penge til mennesker, som åbenlyst stjal fra ham.

Han har mistet tilliden til systemet, som er åbenlyst mangelfuldt over for svindlerne.

Danske Bank har anført, at transaktionerne er korrekt registreret og bogført og ikke har været ramt af tekniske svigt eller andre fejl. Transaktionerne blev godkendt med stærk kundeautentifikation.

Transaktionerne er alle gennemført med klagerens MitID. Beløbsmodtager og beløb fremgik i MitID-app’en ved hver transaktion.

Det må således have stået klart for klageren, at han var ved at foretage fem betalinger til en ukendt modtager. Klageren må på baggrund heraf anses som at have handlet groft uforsvarligt, hvorfor han selv hæfter for 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.

Klageren har overfor banken vedkendt, at han selv foretog/godkendte transaktionerne, og der er intet, der tyder på at klagerens telefon skulle være blevet hacket. Klageren trykkede på det fremsendte link, og klageren prøvede, som redegjort for af klageren, fem gange at bekræfte transaktionen.

Banken har allerede godtgjort klageren den del af beløbet, der overstiger 8.000 DKK.

Banken har ikke mulighed for at stoppe betalinger, når først de er modtaget, jf. betalingslovens § 111.

Ankenævnets bemærkninger

Klageren var kunde i Danske Bank, hvor han havde et Visa/dankort -7011.

Den 4. december 2023 i tidsrummet fra kl. 14.05 til kl. 14.19 blev der med klagerens Visa/dankort foretaget fem kortbetalinger på i alt 3.509,58 USD, svarende til i alt 24.279,53 DKK til en betalingsmodtager, V. Klageren kan ikke vedkende sig betalingerne.

Om baggrunden for transaktionerne har klageren oplyst, at han havde en vare til salg på nettet. Han blev kontaktet af en køber, der meddelte, at hun havde sendt pengene, og at han ville blive kontaktet af DAO. Han modtog en mail, der så ud til at være fra DAO, og indtastede information. En chatfunktion/assistent i mailen meddelte, at han skulle verificere sig, når der kom en push up meddelelse, som han ikke modtog. Assistenten meddelte, at de skulle prøve igen, hvilket skete måske fem gange.

Banken har dækket klagerens tab med fradrag af 8.000 DKK.

Banken har anført, at klageren selv godkendte betalingerne i sin MitID-app, hvor beløb og beløbsmodtager fremgik ved godkendelsen.

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionerne, efter de var godkendt, uanset tidspunktet for den efterfølgende spærring af kortet og debitering af beløbet på klagerens konto.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Vibeke Rønne, Janni Visted Hansen og Karin Sønderbæk – udtaler:

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingerne på i alt 3.509,58 USD i sin MitID-app.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID-appen, hvor han fik oplysninger om beløbene på i alt 3.509,58 USD og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Rolf Høymann Olsen og Ann-Mari Agerlin – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel.

Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionerne.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren med 375 DKK, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klagen.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i sagen.