Indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i MitID-app.

Sagsnummer:539/2023
Dato:19-03-2024
Ankenævn:Helle Korsgaard Lund-Andersen, Andreas Moll Årsnes, Karin Sønderbæk, Morten Bruun Pedersen og Poul Erik Jensen.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i MitID-app.
Indklagede:Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i MitID-app.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor hun havde en konto med et tilknyttet Visa/dankort.

Den 18. august 2023 blev der med klagerens betalingskort foretaget en betaling på 16.154,82 kr. til en betalingsmodtager, F, som klageren ikke kan vedkende sig.

Banken har oplyst, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app -8106, der blev installeret på klagerens iPhone 13 (iPhone 14,5) den 12. august 2022, og at der ikke efterfølgende er blevet tilføjet yderligere enheder til MitID-appen.

Banken har endvidere oplyst, at klageren i forbindelse med godkendelse i sin MitID-app blev præsenteret for beløb og beløbsmodtager og har fremlagt en udskrift fra sine systemer, hvoraf fremgår, at følgende tekst blev vist i klagerens MitID-app i forbindelse med betalingen:

”Betal 16.154,82 DKK til [F] fra kort xx0265”.

Ved en tro- og loveerklæring af 24. august 2023 gjorde klageren overfor banken indsigelse mod over 50 transaktioner foretaget med hendes betalingskort i perioden fra den 1. september 2022 til den 18. august 2023, herunder den i sagen omtvistede betaling.

Den 4. september 2023 afviste banken klagerens indsigelse.

Den 5. september 2023 indbragte klageren bankens afvisning af indsigelsen vedrørende betalingen af 16.154,82 kr. til F for Ankenævnet.

Ved et brev af 21. september 2023 til klageren anførte banken:

”Du har klaget til Det finansielle ankenævn over bankens afslag på din indsigelse vedrørende en betaling på 16.154,82 kr. foretaget med dit Visa/Dankort den 18. august 2023 til [F].

På baggrund af en fornyet gennemgang af din sag er det bankens opfattelse, at baggrunden for denne betaling er, at du modtog en e-mail – angiveligt fra Sygeforsikringen Danmark, men i virkeligheden fra svindlere – med information om, at du skulle opdatere dine oplysninger ved at trykke på et link og udfylde dine personlige oplysninger, herunder dine kortoplysninger, hvilket du – efter vores forståelse – gjorde.

Det fremgår af bankens systemer, at betalingen blev godkendt med din MitID-app, der er installeret på en iPhone 13. Betalingen blev således godkendt med MitID tilkoblet den samme enhed (en iPhone 13), som du har anvendt siden den 12. august 2022.

Derudover fremgår det af bankens systemer, at følgende besked blev vist i MitID-app’en, da betalingen blev godkendt: ”Betal 16.154,82 DKK til [F] fra kort xx0265”.

Det er således bankens vurdering, at du desværre har været udsat for phishing og derigennem (om end uforvarende) er kommet til at foretage og godkende betalingen.

Med henvisning til betalingslovens § 100, som er inkorporeret i bankens Regler for Visa/Dankort, punkt 11, er banken i sådanne sager forpligtet til at godtgøre dig betalingen, dog med fradrag af 8.000 DKK, som du således selv hæfter med, da både beløb og beløbsmodtager fremgik i MitID-app’en, inden du godkendte betalingen.

Banken vil derfor godtgøre dig for det pågældende beløb, som du har gjort indsigelse imod på 16.154,82 kr. fratrukket et beløb på 8.000 kr.

Banken vil således refundere 8.154,82 kr., som snarest vil blive indsat på din konto i banken.

Idet vi vil oplyse Det finansielle ankenævn om, at vi har kompenseret dig for 8.154,82 kr., beder vi dig om enten at vende retur til os pr. mail ([mailadresse]) eller til det Det finansielle ankenævn og meddele, hvorvidt du fortsat er uenig i vores behandling af din sag, og således ønsker at køre videre med sagen i Det finansielle ankenævn.”

Klageren oplyste, at hun ønskede at fastholde klagen, idet hun ønskede at få tilbageført det fulde beløb.

Banken har under sagens behandling i Ankenævnet oplyst, at klageren over for banken har oplyst, at hun ikke har godkendt nogle transaktioner i forbindelse med, at hun klikkede på linket i mailen, der angav at komme fra Sygeforsikringen Danmark.

Banken har fremlagt en udskrift fra en hjemmeside, der indeholder en identifikationsliste over Apple-enheder. Banken har oplyst, at en iPhone 14,5 er Apples eget interne versionsnummer, der er udtryk for, at der er tale om en iPhone 13.

Parternes påstande

Den 5. september 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal tilbageføre 8.000 kr.

Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har blandt andet anført, at hun blev svindlet under dække af Sygeforsikringen Danmark.

To-faktor-godkendelsen på MitID var ikke aktiveret – det vil sige, at man kunne godkende uden at gøre brug af QR koden. Normalt skal man bruge QR kode, når man skal logge ind med MitID, om det så er til Danske Bank, Sygeforsikringen Danmark eller et andet sted, hvor man skal bruge MitID.

Hun har en iPhone 13 og ikke en iPhone 14,5, som godkendelsen ifølge det oplyste er sket fra. Siden hvornår er Apple begyndt at lave halve numre ?

Selvrisikoen på 8.000 kr. er mange penge for hende. Da hun desværre ikke har nogen form for opsparing, har hun levet virkelig stramt i hele september måned, hvor hun har måttet låne penge fra familiemedlemmer for at betale sine regninger.

Danske Bank har til støtte for frifindelsespåstanden anført, at korttransaktionen på 16.154,82 kr., som klageren har gjort indsigelse imod, var korrekt registeret og bogført.

Transaktionen blev autoriseret med klagerens MitID-app og dermed godkendt med stærk kundeautentifikation (to-faktor-autentifikation). MitID-app’en var installeret på klagerens telefon, der var i hendes besiddelse på tidspunktet for godkendelse af betalingen.

Det må på den baggrund lægges til grund, at klageren selv autoriserede betalingen, omend uforvarende, idet klageren selv videregav sine kortoplysninger til tredjemand, der muliggjorde betalingsanmodningen. Endvidere fremgik det af godkendelsesteksten i klagerens MitID-app, at betalingsmodtageren var F, og at beløbet på 16.154,82 kr. ville blive trukket på klagerens betalingskort. Det måtte således være klart for klageren, at hun var ved at foretage en betaling på det pågældende beløb til en ukendt modtager.

Klageren befandt sig ikke i en presset situation i forbindelse med udleveringen af sine kortoplysninger og efterfølgende godkendelse af betalingen.

Klageren muliggjorde således betalingen ved groft uforsvarlig adfærd, hvorfor hun hæfter med 8.000 kr. i henhold til betalingslovens § 100, stk. 4.

Banken har allerede godtgjort klageren den del af beløbet, der overstiger 8.000 kr.

Banken har i øvrigt ikke handlet ansvarspådragende.

Banken har til støtte for afvisningspåstanden anført, at klagerens påstand om, at hun ikke har godkendt beløbet, ikke hænger sammen med bankens oplysninger om, at klageren blev præsenteret for både beløbsmodtager og beløb i MitID-app’en, som var installeret på klagerens telefon, der var i hendes besiddelse på tidspunktet for godkendelse af betalingen. En vurdering af sagen vil derfor kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. vedtægternes § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Den 18. august 2023 blev der med klagerens betalingskort foretaget en betaling på 16.154,82 kr. til en betalingsmodtager, F, som klageren ikke kan vedkende sig.

Klageren har anført, at hun ikke godkendte betalingen af 16.154,82 kr. til F. Banken har oplyst, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app -8106. Af en udskrift af bankens systemer fremgår, at følgende tekst blev sendt til klagerens MitID-app ”Betal 16.154,82 DKK til [F] fra kort xx0265”.

Banken har under sagens behandling i Ankenævnet dækket klagerens tab med fradrag af 8.000 kr.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.

Efter lov om betalinger § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 kr. af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.