Indsigelse mod at hæfte for 8.000 DKK af korttransaktioner. Aktivering/indrullering af MitID på svindlers enhed.

Sagsnummer:447/2023
Dato:19-03-2024
Ankenævn:Henrik Waaben, Morten Winther Christensen, Mette Lindekvist Højsgaard, Rolf Høymann Olsen og Elizabeth Bonde.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod at hæfte for 8.000 DKK af korttransaktioner. Aktivering/indrullering af MitID på svindlers enhed.
Indklagede:Sparekassen Danmark
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktioner.

Sagens omstændigheder

Klageren var kunde i Sparekassen Danmark, hvor hun havde to betalingskort -578 og -058.

Lørdag den 29. april 2023 blev klagerens betalingskort -578 anvendt til en betaling på 24.089,00 tjekkiske koruna (CZK) svarende til 7.784,54 DKK, som klageren ikke kan vedkende sig.

Samme dag blev klagerens betalingskort -058 anvendt til to betalinger på 25.089,00 CZK svarende til 8.107,70 DKK og 3.500,00 DKK, som klageren ikke kan vedkende sig.

Transaktionerne blev foretaget til to udenlandske betalingsmodtagere.

Sparekassen har oplyst, at betalingerne var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1, og at betalingerne blev godkendt med klagerens MitID.

Sparekassen har oplyst, at betalingskort -058 blev spærret den 29. april 2023, og at betalingskort -578 blev spærret den 30. april 2023.

Klageren gjorde indsigelse mod transaktionerne overfor sparekassen, der godtgjorde klageren tabet fratrukket 8.000 DKK. I indsigelsesblanketten gjorde klageren indsigelse mod transaktionerne foretaget med betalingskort -058 og anførte blandt andet:

Beskriv hvad der er sket:

Jeg skulle d. 29.04.23 sælge en vare på appen Tise. Jeg skulle indtaste mit kortnr for at få mine penge. Da jeg havde trykket kortnr, kunne jeg ikke komme videre. Der kom efterfølgende en sms, hvor jeg skulle godkende med mitid. Det kunne ikke lad sig gøre.

D. 29.04.23 om aftenen kunne jeg se at der var flyttet penge mellem mine konti

- Fra opsparing til lønkonto 10.000 kr ([-058])

- Fra opsparing til madkonto 15.000 kr ([-578])

Jeg flyttede dem alle tilbage til min opsparing (da jeg troede banken måske havde flyttet dem)

Jeg kunne ikke bruge mitid om dagen så jeg afinstallerede det og prøvede igen om aftenen men uden held.

Søndag morgen ringede til mitid hotline hvor de kunne se telefonnr som man skal bruge til og aktivere mitid ikke var mit eget men derimod dette mobilnr : + 40 [-6144].

Hun spærrede mitid øjeblikkeligt og sagde jeg skulle spærre mine kort.

Da jeg ville spærre mine kort, var mit dankort til lønkonto allerede spærret og jeg spærrede selv for mit madkonto kort.

Jeg forsøgte og ringe til banken søndag for at lukke min netbank, men min bank har ikke hotline i weekenden, kun for dankort.

Mandag morgen fik jeg en sms fra banken at jeg skulle ringe til dem da der var hævet to beløb til udlandet. Jeg kontakter dem med det samme hvor jeg siger de skal stoppe beløbene og stoppe samtidig samtlige mine konti. Banken oplyser beløbet på 3500 kan de ikke stoppe men det andet beløb vil de prøve at stoppe.

Jeg tager selv kontakt til min egen bankdame hvor vi aftaler at snakkes ved de næste par om der bliver trukket mere. Tirsdag d. 2.5.23 er der ikke trukket noget yderligere.

Onsdag d.3.5 får jeg en sms fra banken om jeg skal ringe. Der er trukket yderligere et beløb på ca 7700 fra mit madkonto kort.

Spørger banken hvorfor de ikke har spærret dette kort også, da jeg allerede bad dem om det om mandagen d.1.5. Det kunne de ikke svare mig på.

Vi aftaler at snakkes ved, da jeg først kunne få en tid ved borgerservice torsdag d. 4.5 for at få nyt mitid.”

Sparekassen har anført, at klageren videregav sine kortoplysninger og personlige MitID-oplysninger. Herefter godkendte klageren aktiveringen af et MitID på svindlerens enhed, hvorefter svindleren kunne installere og aktivere klagerens MitID på sin enhed og foretage de omtvistede transaktioner.

Sparekassen har oplyst, at den ikke har adgang til alle oplysninger vedrørende klagerens MitID. Sparekassen kan bl.a. ikke tilgå oplysninger om, hvornår klageren har godkendt aktivering af hendes MitID på svindlerens enhed.

Sparekassen har fremlagt to udskrifter med vejledning til opsætning af MitID på en anden enhed, der er indhentet fra MitID’s hjemmeside. Af udskrifterne fremgår bl.a.:

”Få aktiveringskode til MitID app

Du kan aktivere eller genaktivere en MitID app ved at indtaste en aktiveringskode sammen med dit bruger-ID. Det gælder både den første, en ny eller en ekstra MitID app. Er din aktiveringskode udløbet, skal du have ny. Aktiveringskoden kobler appen til dit MitID og dit mobilnummer.

Få aktiveringskode ved at logge på MitID.dk

Af sikkerhedsmæssige årsager går der 24 timer, fra du logger ind på din MitID profil og anmoder om adgang, til du kan redigere dine oplysninger.

1. Log på MitID.dk
2. Tryk på Se under Identifikationsmidler på profilsiden
3. Tryk på Tilføj i boksen "Tilføj identifikationsmiddel"
4. Tryk på Anmod om adgang
5. Tryk på Log ud

Vent 24 timer - du får besked når du får adgang

1. Log på MitID.dk igen efter de 24 timer
2. Tryk på Se under Identifikationsmidler på profilsiden
3. Tryk på Tilføj i boksen "Tilføj identifikationsmiddel"
4. Vælg MitID app i listen
5. Siden "Aktivér din MitID app" åbner.
6. Find aktiveringskoden på siden. Du kan evt. skrive den ned. Du kan kun bruge aktiveringskoden til at aktivere én app.

Du er nu klar til at aktivere MitID app med aktiveringskoden

  • Aktiver MitID app med aktiveringskode
  • Hent MitID app til din mobil eller tablet”

Af udskrifterne fremgår endvidere:

”Aktivér MitID app med aktiveringskode

Når du har hentet MitID app til din telefon eller tablet, kan du aktivere appen med en aktiveringskode.

1. Hent (download) MitID app til din telefon eller tablet
2. Åbn MitID app
3. Tryk på Aktivér app på den første side du ser i appen "Med MitID app kan du nemt og sikkert godkende digitalt"
4. Indtast dit bruger-ID og aktiveringskoden
[…]
5. Tryk på Næste
6. Indtast midlertidig PIN-kode fra sms
7. Indtast en personlig PIN-kode på 6 cifre og tryk Næste
(Har du flere MitID apps kan du med fordel bruge forskellige PIN-koder til hver MitID app)
8. Gentag den personlige PIN-kode og tryk på Næste
9. Opsæt eventuelt biometri med ansigtsgenkendelse eller fingeraftryk
10. Tryk på Indstil notifikationer

1. Tryk på Tillad hvis du vil modtage notifikationer
2. Tryk på Tillad ikke hvis du ikke ønsker at modtage notifikationer.
[…]

11. MitID app er nu aktiveret og klar til brug
[…]”

Sparekassen har yderligere fremlagt en sessionslog fra sin datacentral og har med henvisning hertil oplyst, at IP-adressen blev ændret den 29. april 2023.

Klageren har fremlagt et dokument fra Borgerservice og har med henvisning hertil oplyst, at det er det anførte telefonnummer, der blev brugt til at overtage hendes Mit-ID. Telefonnummeret har landekode +40. Klageren har endvidere fremlagt en GDPR-rapport.

Parternes påstande

Den 27. juli 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Danmark skal godtgøre hende de resterende 8.000 DKK.

Sparekassen Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun på ingen måde havde mulighed for at se, at det ikke var den korrekte Tise-app, som hun handlede med. Hun nåede alene at opgive sine kontooplysninger, hvorefter appen blev overtaget, og hun kunne ikke godkende med Mit-ID.

Hun har på ingen måde handlet groft uforsvarligt, da det ikke var muligt at se, at appen var svindel, og da hun ikke udleverede MitID-oplysninger.

Hun godkendte ikke aktiveringen af MitID, da hun ikke kunne komme på MitID, da hun blev bedt om det. På tidspunktet var det åbenbart allerede overtaget af svindlerne.

Hun godkendte heller ikke transaktionen på 7.774,54 DKK, da MitID allerede på det tidspunkt var overtaget af svindlerne. De andre transaktioner godkendte hun heller ikke, da det ikke var muligt at komme på MitID.

Af dokumentationen fra Borgerservice og kommunen fremgår det telefonnummer, der blev brugt til at overtage MitID, og det er ikke hendes telefonnummer. Ifølge Borgerservice er det det pågældende telefonnummer, der har godkendt transaktionerne.

Ifølge Borgerservice er det ikke muligt at fremskaffe en GDPR-rapport for et MitID, der er lukket.

Den 29. april 2023 kunne hun se i sin netbank, at der fra hendes opsparingskonto var overført 15.000 kr. til konto -578 og 10.000 kr. til konto -058. Svindlerne var således inde og overføre beløb mellem hendes konti.

Den 30. april 2023 forsøgte hun at lukke alle sine konti og netbank. Konto -058 var allerede spærret. Hun spærrede selv konto -578. Hun forsøgte at ringe til sparekassen samme dag for at spærre samtlige konti og netbank, men det var alene muligt at spærre kortene.

Den 30. april 2023 bad hun sparekassen om at lukke alle hendes konti, så der ikke kunne svindles yderligere. På trods heraf fik hun den 3. maj 2023 besked fra sparekassen om, at der var trukket 7.784,54 kr. fra kort -578.

Den 1. maj 2023 modtog hun en SMS fra sparekassen om, at hun skulle kontakte den vedrørende transaktioner på konto -058, men sparekassen oplyste intet om konto -578. Hun kontaktede straks sparekassen, der ville forsøge at standse udbetalingen på 8.107,70 kr. Sparekassen sagde, at den ikke kunne standse transaktionen på 3.500 kr.

I forhold til sparekassens ageren i sagen har det ikke virket som om, den havde styr på, hvad den skulle foretage sig. Alene det, at der skete svindel på et andet kort end det, der først var svindlet med, efter hun bad sparekassen spærre alle konti, vidner om uvidenhed og mangel på handling.

Sparekassen bør således hæfte for de 8.000 DKK, da hun ikke har udvist groft uforsvarlig adfærd, og da sparekassen ikke spærrede samtlige hendes konti den 30. april 2023 samt undersøgte, om der var ved at ske yderligere svindel, hvilket der skete den 3. maj 2023.

Sparekassen Danmark har anført, at klageren skal hæfte for 8.000 DKK af tabet ved den uberettigede anvendelse.

Klageren har oplyst, at hun forsøgte at godkende med MitID, men at det ikke kunne lade sig gøre. Dette skyldes med al sandsynlighed, at svindleren anvendte hendes oplysninger til at oprette hendes MitID på svindlerens enhed. Klageren har således godkendt aktiveringen af et MitID på svindlerens enhed.

Sparekassen har ikke adgang til alle oplysninger vedrørende MitID. Sparekassen kan bl.a. ikke tilgå oplysninger om, hvornår klageren har godkendt aktivering af sit MitID på svindlerens enhed. Af samme grund har sparekassen opfordret til, at klageren indhenter og fremlægger en GDPR-rapport fra MitID for perioden fra den 26. april 2023 til den 3. maj 2023. Klageren har ikke indhentet og fremlagt rapporten.

Selvom det ikke kan fastslås, hvornår klageren har godkendt aktivering af sit MitID på svindlerens enhed, ændrer det ikke på, at svindleren har haft adgang til at bruge klagerens MitID. En sådan adgang forudsætter, at klageren har godkendt aktivering af hendes MitID på svindlerens enhed.

Betalingsloven fastsætter grænserne for sparekassens forpligtelser til at godtgøre kunder for visse betalinger. Som udgangspunkt hæfter sparekassen for tab som følge af uautoriserede betalinger, dvs. betalinger som betaleren ikke har godkendt. En betalingstransaktion er autoriseret, hvis betaleren har givet samtykke til at gennemføre transaktionen. ”Autorisere” forstås som at ”godkende”. Sparekassen er som betalingsudbyder forpligtet til at gennemføre en autoriseret betalingstransaktion. Transaktionerne på klagerens konto er autoriseret med swipes i klagerens MitID-app.

Betalingerne er korrekt registret og bogført og ikke ramt af tekniske svigt eller andre fejl. Klagerens MitID er en personlig sikkerhedsforanstaltning og udgør stærk kundeautentifikation.

Som udbyder af betalingstjenester hæfter sparekassen for tab som følge af andres uberettigede anvendelse af en betalingstjeneste. Klageren burde have undladt at udlevere kort- og MitID-oplysninger og undladt at godkende aktiveringen af en MitID-app på svindlerens enhed.

Klageren muliggjorde ved groft uforsvarlig adfærd den uberettigede anvendelse og skal hæfte for 8.000 DKK af tabet ved den uberettigede anvendelse.

Mandag den 1. maj 2023 tog sparekassen kontakt til klageren, idet Nets havde spærret hendes kort på grund af uregelmæssig brug. Klageren oplyste, at hun ikke kunne godkende transaktionerne, hvorfor spærringen blev opretholdt.

Spærring af et kort forhindrer alene fremtidige transaktioner. Transaktionen på kort nummer -578 blev foretaget den 29. april 2023. Transaktionen blev foretaget inden spærringen af kortet, hvorfor den blev gennemført, selvom den først blev bogført på klagerens konto den 3. maj 2023. Det var ikke muligt for sparekassen at stoppe transaktionerne.

Ankenævnets bemærkninger

Den 29. april 2023 blev klagerens betalingskort -578 anvendt til en betaling på 24.089,00 CZK svarende til 7.784,54 DKK, som klageren ikke kan vedkende sig. Samme dag blev klagerens betalingskort -058 anvendt til to betalinger på 25.089,00 CZK svarende til 8.107,70 DKK og 3.500 DKK, som klageren ikke kan vedkende sig.  Transaktionerne blev foretaget til to udenlandske betalingsmodtagere.

Sparekassen har dækket klagerens tab med fradrag af 8.000 DKK.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Sparekassen har oplyst, at transaktionerne på klagerens konto blev autoriseret med swipes i klagerens MitID-app. Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionerne, efter de var godkendt, uanset tidspunktet for den efterfølgende spærring af kortene.

Sparekassen har anført, at klageren videregav sine kortoplysninger og personlige MitID-oplysninger, hvorefter hun godkendte aktiveringen af et MitID på svindlerens enhed. Derefter kunne svindleren installere og aktivere hendes MitID på sin enhed og foretage de omtvistede transaktioner. Klageren har anført, at hun ikke har udleveret sine MitID-oplysninger og ikke har godkendt aktiveringen af MitID på en anden enhed.

Ankenævnet finder, at en afklaring af de nærmere omstændigheder omkring aktiveringen af klagerens MitID på tredjemands enhed forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.