Indsigelse mod at hæfte for 8.000 kr. af korttransaktion, der blev gennemført som 3D Secure transaktion ved godkendelse med MitID. Phishing.

Sagsnummer:145/2023
Dato:30-10-2023
Ankenævn:Henrik Waaben, Mette Lindekvist Højsgaard, Kritte Sand Nielsen, Jacob Ruben Hansen og Kim Korup Eriksen.
Klageemne:
Ledetekst:Indsigelse mod at hæfte for 8.000 kr. af korttransaktion, der blev gennemført som 3D Secure transaktion ved godkendelse med MitID. Phishing.
Indklagede:Nordea Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev gennemført som 3D Secure transaktion ved godkendelse med MitID.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun blandt andet havde en konto med tilhørende Visa/Dankort -885.

Den 11. januar 2023 blev klagerens betalingskort anvendt til en betaling på 2.124,99 EUR, svarende til 15.806,47 DKK, til en betalingsmodtager, F, som klageren ikke kan vedkende sig.

Om baggrunden for transaktionen har klageren oplyst, at hun den 11. januar 2023 modtog en e-mail fra PostNord, hvor der stod, at hun manglede at betale 16 DKK i porto, og da hun afventede en pakke, klikkede hun på linket, hvorefter hun efter kort tid var i gang med at godkende en transaktion med sit MitID. Hun blev på intet tidspunkt under godkendelsen præsenteret for det reelle beløb på 2.214,99 EUR, som først blev synligt efter, at hun havde godkendt med sit MitID.

Banken har oplyst, at betalingen blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse med klagerens MitID. Banken har fremlagt en udskrift fra Nets’ systemer, hvor det fremgår, at følgende tekst blev sendt til klagerens MitID-nøgleapp:

”Betal 2124,99 EUR til [F] fra kort xx4885”

Det fremgår endvidere, at betalingen blev gennemført med 3D Secure.

Banken har fremlagt en transaktionslog, hvor det fremgår, at Nets bekræfter, at de ikke er bekendt med, at der skulle være opstået tekniske svigt eller fejl hos Nets i forbindelse med de pågældende transaktioner.

Banken har endvidere fremlagt oplysninger vedrørende klagerens MitID, hvoraf det blandt andet fremgår, at klagerens MitID identifikationsmiddel-ID var -384. Banken har oplyst, at det var dette MitID, der blev anvendt i forbindelse med godkendelsen, og at dette MitID blev spærret den 12. januar 2023.

Klageren gjorde den 17. januar 2023 indsigelse over for banken. I indsigelsesblanketten anførte hun vedrørende hændelsesforløbet følgende:

”Jeg skulle godkende et gebyr fra postnord pr. Mail på 16,-. Da jeg ventede på en pakke, var jeg nogenlunde sikker på, at det nok var denne pakke. Jeg afgav kortoplysninger og godkendte med mitid. Så snart jeg godkendte, stod der ikke 16,- men 15.000. Jeg skyndte mig at ringe til Nordea og lukke alle kort samt mitID. I dag kan jeg så se, at pengene alligevel er trukket”

Banken tilbagebetalte klagerens tab fratrukket 8.000 DKK.

Parternes påstande

Den 24. februar 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbageføre det fulde beløb.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun ikke blev præsenteret for det reelle beløb på 2.214,99 EUR før efter, at hun havde swipet godkend, og at hun havde ingen chance for at stoppe det.

Hun har ikke udvist grov uagtsomhed. Svindlerne bliver bedre og bedre.

Prisen, som hun skal betale, er helt ude af proportioner, da hun på intet tidspunkt oplevede, at hun handlede groft uagtsomt.

Det burde ikke kunne ske, og derfor mener hun, at MitID og andre har et stort ansvar for, at forbrugere kan føle sig trygge, når de er på internettet.

Nordea Danmark har anført, at betalingen er korrekt registreret, bogført og i øvrigt ikke er fejlbehæftet. Klageren har erkendt at have foretaget betalingen, blot med et andet beløb.

Klageren blev præsenteret for teksten ”Betal 2124,99 EUR til [F]”, hvorfor der ikke kan være tvivl om, at klageren godkendte betalingen på netop dette beløb.

Den omstændighed, at klageren gennem processen med betalingen på den hjemmeside, som hun var blevet linket til, så, at hun kun skulle betale 16 DKK, ændrer ikke på, at betalingen også skulle godkendes via MitID-appen, hvori beløbets størrelse og betalingsmodtager fremgik.

Såfremt klageren havde læst detaljerne for betalingen, ville hun være blevet opmærksom på, at hun var i færd med at gennemføre en betaling på 2.124,99 EUR, som ikke var til PostNord, men til ”[F]”. Klageren har dermed ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse og hæfter for 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4, nr. 3.

Banken havde ikke mulighed for at stoppe betalingen, idet det følger af betalingslovens § 111, stk. 1, at banken ikke kan tilbagekalde en betaling efter, at instruksen om betaling er modtaget af banken. Betalingen blev godkendt, da den blev gennemført med MitiD, og den kunne derfor ikke tilbagekaldes på baggrund af klagerens efterfølgende indsigelse.

Ankenævnets bemærkninger

Klageren var kunde i Nordea Danmark, hvor hun blandt andet havde en konto med tilhørende VisaDankort -885.

Den 11. januar 2023 blev klagerens betalingskort anvendt til en betaling på 2.124,99 EUR, svarende til 15.806,47 DKK, til en betalingsmodtager, F, som klageren ikke kan vedkende sig.

Om baggrunden for transaktionen har klageren oplyst, at hun den 11. januar 2023 modtog en e-mail fra PostNord, hvor der stod, at hun manglede at betale 16 DKK i porto.

Klageren har anført, at hun afventede en pakke og derfor trykkede på linket, indtastede sine betalingsoplysninger og godkendte med MitID, men at beløbet hun godkendte var 16 DKK, som efterfølgende ændrede sig til 2.214 EUR efter, at hun havde swipet.

Banken har anført, at klageren ved godkendelse med sit MitID blev præsenteret for en tekst, hvor beløbets størrelse på 2.2124,99 EUR og betalingsmodtager F fremgik, som hun burde have reageret på.

Banken tilbagebetalte klagerens tab fratrukket 8.000 DKK.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet finder, at det som anført af banken må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter at den var godkendt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Henrik Waaben, Mette Lindekvist Højsgaard og Kritte Sand Nielsen – udtaler:

Vi finder, at klageren må have godkendt betalingen på 2.124,99 EUR med sit MitID. Vi finder det således godtgjort, at teksten i den besked, som klageren modtog i MitID-appen, indeholder de oplysninger, som fremgår af bankens udskrift, og at klageren således modtog oplysning om beløb og betalingsmodtager.

Vi finder herefter, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID-appen, hvor hun fik oplysninger om beløbet på 2.214,99 EUR og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Jacob Ruben Hansen og Kim Korup Eriksen – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf.  betalingslovens § 100, stk. 3. 

Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren. 

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.