Indsigelse vedrørende korttransaktion godkendt med MitID-app og netbankoverførsel foretaget i forbindelse med et bedragerisk telefonopkald.

Sagsnummer:541/2022
Dato:30-10-2023
Ankenævn:Henrik Waaben, Mette Lindekvist Højsgaard, Kritte Sand Nielsen, Jacob Ruben Hansen og Kim Korup Eriksen.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse vedrørende korttransaktion godkendt med MitID-app og netbankoverførsel foretaget i forbindelse med et bedragerisk telefonopkald.
Indklagede:Nordea Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen omhandler indsigelse vedrørende korttransaktion godkendt med MitID-app og netbankoverførsel foretaget i forbindelse med et bedragerisk telefonopkald.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun havde et Nordea Pay-kort uden kredit og netbankadgang.

Den 14. oktober 2022 blev der med klagerens betalingskort foretaget en betaling på 1.099,25 EUR, svarende til 8.259,81 DKK, til en betalingsmodtager, B, som klageren ikke kan vedkende sig.

Om baggrunden for korttransaktionen har klageren oplyst, at hun den 13. oktober 2022 modtog en SMS, som fremstod som værende fra MobilePay, hvoraf det fremgik, at hendes kontaktoplysninger var forsøgt ændret, og at hun derfor skulle trykke på et link og opdatere sine oplysninger. Hun udfyldte herefter sine kortoplysninger.

Klageren har endvidere oplyst, at hun den 14. oktober 2022 modtog et telefonopkald fra en person, der udgav sig for at være fra banken, P. P spurgte ind til beløbet i EUR, der var blevet trukket på klagerens betalingskort på en hjemmeside, og da klageren tjekkede sin netbank, kunne hun konstatere, at der var foretaget en betaling til B. P spurgte herefter klageren om, hvorvidt at hun havde foretaget betalingen og om hun havde modtaget en mistænkelig SMS fra MobilePay. Klageren bekræftede modtagelsen af en SMS fra MobilePay, hvorefter P sagde, at nogen derigennem havde fået adgang til klagerens kortoplysninger. P oplyste klageren om, at det derfor var bedst ikke at spærre hendes kort, men at samle hendes midler på én konto og derefter overflytte dem til en sikker konto.

Klageren har fremlagt et screenshot af SMS’en, hvoraf det fremgår, at klagerens kontaktoplysninger på MobilePay er forsøgt ændret, og hvis det ikke var hende, skulle hun følge et link, og et screenshot af netbankoverførlsen, hvoraf det blandt andet fremgår, at den er foretaget som en straksoverførsel.

Banken har oplyst, at korttransaktionen blev godkendt ved brug af klagerens MitID-app installeret på klagerens telefon den 19. december 2021, hvor både beløb og beløbsmodtager fremgik, og har fremlagt en udskrift fra Nets’ systemer, hvoraf det blandt andet fremgår, at den 14. oktober 2022 blev korttransaktionen på 1.099,25 EUR gennemført med VISA SECURE til B fra en spansk IP-adresse -194, og at    MitID-teksten var følgende:

”Betal 1099,25 EUR til [B] fra kort xx5154”.

Banken har endvidere oplyst, at klageren overførte 57.973,62 DKK via sin netbank til den af svindleren anviste konto i det modtagende pengeinstitut, at overførslen blev foretaget og godkendt med klagerens MitID, og at der som en yderligere sikkerhed til frigivelse af overførslen blev sendt en SMS til klagerens telefon, som klageren bekræftede ved at besvare SMS’en med et ”JA”, og har fremlagt en udskrift fra sit system, hvoraf det fremgår, at der den 14. oktober 2022 kl. 18:09:39 blev sendt en SMS til klageren fra banken, hvori der stod, at klageren skulle bekræfte betalingen på 57.973,62 DKK til konto -870 ved at svare ”JA”, hvis den skulle gennemføres og ”NEJ”, hvis den ikke skulle gennemføres, og at der den 14. oktober 2022 kl. 18:10:12 blev svaret ”JA”.

Banken har derudover fremlagt en oversigt over klagerens MitID-identifikationsmidler, hvoraf det fremgår, at MitID -885 den 19. december 2021 blev installeret på en iOS-15.6.1-enhed, og at det blev spærret den 15. oktober 2022.

Den 14. oktober 2022 kontaktede klageren banken, der spærrede klagerens konti, MitID og kort, og klageren indgav en politianmeldelse.

Banken har oplyst, at banken den 25. oktober 2022 rettede henvendelse det modtagende pengeinstitut med anmodning om, at det overførte beløb tilbageholdtes, men at pengeinstituttet svarede tilbage, at midlerne kort efter modtagelsen var blevet formøblet videre.

Klageren gjorde den 27. oktober 2022 indsigelse over for banken vedrørende netbankoverførslen på 57.973,62 DKK. I indsigelsesblanketten anførte klageren blandt andet, at hun huskede det som, at svindleren ville have hende til at bekræfte sit brugernavn, og anførte vedrørende hændelsesforløbet følgende:

”Jeg fik en SMS fra MobilePay torsdag d. 13/10, hvori der stod at mine kontaktoplysninger var forsøgt ændret og at jeg derfor skulle følge linket og opdatere mine oplysninger. Her har jeg givet mine kortoplysninger. Her har jeg givet mine kortoplysninger. Fredag d. 14/10 blev jeg ringet op af en der udgav sig for at være fra Nordea. Han spurgte om det var mig der havde brugt pengene og om jeg havde fået en mistænkelige SMS fra MobilePay. Jeg fortalte ham om SMS’en fra MP og han sagde at nogen havde fået mine kortoplysninger derigennem og havde misbrugt det. Derfor sagde han at det bedste var ikke at spærre mit kort, men at samle alle mine penge på én konto og derefter flytte dem til en sikker konto. Det synes jeg var lidt underligt, så jeg spurgte ham hvordan jeg kunne være sikker på at han ikke snød mig. Til det svarede han at han ringede fra Nordeas tlf. nr. og med den sikkerhed overførte jeg pengene. Derefter lagde han på uden at afslutte samtalen og så blev jeg urolig og vi (min far og jeg) kontaktede Nordea og politiet.”

Klageren erklærede endvidere, at hun selv havde foretaget netbankoverførslen efter tredjemands urigtige oplysninger omkring formålet med overførslerne.

Banken afviste klagerens krav, idet hun selv havde foretaget og godkendt netbankoverførslen, og der derfor var tale om en autoriseret overførsel.

Klageren indgav den 27. december 2022 en klage til Ankenævnet vedrørende begge transaktioner.

Banken har oplyst, at den i forbindelse med den verserende klagesag ligeledes behandlede klagerens indsigelse vedrørende korttransaktionen på 1.099,25 EUR. Banken tilbageførte klagerens tab med fradrag af 8.000 DKK.

Parternes påstande

Den 27. december 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbageføre det fulde beløb og betale en kompensation.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at de to transaktioner er kædet sammen og skal ses som ét samlet handlingsforløb med den samme eller de samme personer bag bedrageriet.

Klageren blev under telefonsamtalen med svindleren mistænksom, og spurgte svindleren, hvordan hun kunne være sikker på, at han ikke snød hende, til hvilket han svarede, at hun kunne se, at han ringede fra Nordeas telefonnummer, og at hun derefter overførte pengene.

Hun godkendte ikke betalingen af 14. oktober 2022 via MitID-appen.

Hun modtog ikke en besked på telefonen via appen indeholdende teksten: ”Betal 1099,25 EUR til [B] fra kort xx5154”.

Hun gav sine kortoplysninger via den falske SMS, men hun godkendte ikke efterfølgende med MitID-appen.

Banken har ikke dokumenteret, at hun har godkendt betalingen via MitID-appen på sin telefon.

Banken har ikke dokumenteret, at hun godkendte betalingen til B via MitID-appen. Hun har ikke udvist groft uforsvarlig adfærd i situationen.

Banken ventede 11 dage med at kontakte det modtagende pengeinstitut, men burde straks have iværksat en tilbagesøgning af netbankoverførslen, idet hun kontaktede banken 14. oktober 2022 i forlængelse af overførslen fra sin konto. I en telefonsamtale opfordrede hun banken til at kontakte det modtagende pengeinstitut for derved at skaffe pengene tilbage, og det burde den have gjort hurtigst muligt.

Hun har mistanke om, at hendes MitID er blevet misbrugt, og hun forstår ikke, hvordan svindlerne har fået adgang til hendes MitID.

Hun har politianmeldt sagen.

Hun har indgivet en klage til MobilePay, som ikke er vendt tilbage på hendes henvendelse.

Nordea Danmark har vedrørende korttransaktionen anført, at denne er omfattet af betalingslovens § 100, stk. 4.

Klageren har givet sine kortoplysninger til tredjemand via et link i en SMS, hvorefter klagerens kort blev brugt på hjemmesiden, B, hvor der den 14. oktober 2022 blev trukket 1.099,25 EUR. Der var tale om en 3D Secure-løsning, hvorfor betalingen også skulle godkendes med klagerens MitID.

Korttransaktionen blev godkendt ved brug af klagerens MitID-app installeret på klagerens telefon den 19. december 2021, med bekræftelse af følgende ”Betal 1099,25 EUR til [B] fra kort xx5154”.

Klageren godkendte kortbetalingen i MitID-appen, og godkendelsen udgjorde groft uforsvarlig adfærd fra klagerens side, hvorfor klageren hæfter for op til 8.000 DKK., jf. betalingslovens § 100, stk. 4, nr. 3.

Klageren muliggjorde selv den uberettigede anvendelse, da hun burde have reageret på teksten i MitID-appen, hvor klageren både fik oplysning om beløbet på 1.099,25 EUR og beløbsmodtageren, B.

Den omtvistede betaling er korrekt registreret og bogført og i øvrigt ikke fejlbehæftet.

Nordea Danmark har vedrørende netbanktransaktionen anført, at denne er en autoriseret overførsel.

Klageren har anerkendt i tro- og loveerklæringen af 27. oktober 2022 til banken, at hun selv foretog overførslen og godkendte den med sit MitID. Det er således uomtvistet, at klageren selv foretog den pågældende overførsel via netbank ved brug af sit MitID og godkendte overførslen med sit MitID. Netbankoverførslen blev således gennemført ved stærk kundeautentifikation. Derudover blev overførslen som en yderligere sikkerhed bekræftet via SMS fra klagerens telefon.

Banken har ikke handlet ansvarspådragende, da banken rettede henvende til modtagende pengeinstitut efter 11 dage, og klageren har ikke lidt et økonomisk tab som følge heraf.

Banken rettede telefonisk henvendelse til det modtagende pengeinstitut, der oplyste, at 57.973,62 DKK indgik på deres kundes konto -870 den 14. oktober 2022 kl. 18:10, og at den første overførsel blev videresendt kl. 18:14 og den sidste kl. 18:28 til en betalingsmodtager, C.

Overførslen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Der er endvidere ikke tale om phishing i form af en uautoriseret overførsel ved tredjemands uberettigede anvendelse af netbank eller misbrug af MitID, idet klageren hverken udleverede MitID eller SMS-kode til svindleren, og at denne person ikke var logget på klagerens netbank.

Overførslen skyldtes således ikke tredjemands misbrug af klagerens netbank eller MitID. Det forhold, at klageren var udsat for svindel af en kriminel til at foretage overførslen, medfører ikke, at overførslen kan anses som uautoriseret efter betalingsloven.

Klageren kan ikke påberåbe sig de hæftelsesbegrænsninger, der følger af betalingslovens § 100, idet klageren selv foretog og godkendte overførslen, og klageren hæfter derfor fuldt ud.

Betalingslovens § 112 finder ikke anvendelse i dette tilfælde, da klageren har foretaget overførslen via sin netbank.

Ankenævnets bemærkninger

Klageren var kunde i Nordea Danmark, hvor hun havde et Nordea Pay-kort uden kredit og netbankadgang.

Den 14. oktober 2022 blev der med klagerens betalingskort foretaget en betaling på 1.099,25 EUR, svarende til 8.259,81 DKK, til en betalingsmodtager, B, som klageren ikke kan vedkende sig. Den 14. oktober 2022 foretog klageren en netbankoverførsel på 57.973,62 DKK.

Om baggrunden for korttransaktionen har klageren oplyst, at hun den 13. oktober 2022 modtog en SMS, som fremstod som værende fra MobilePay, hvori det fremgik, at hendes kontaktoplysninger var forsøgt ændret, og at hun derfor skulle trykke på et link og opdatere sine oplysninger. Hun udfyldte herefter sine kortoplysninger. Klageren modtog den 14. oktober 2022 et telefonopkald fra en person, der udgav sig for at være fra banken, P. P spurgte ind til beløbet i EUR, der var blevet trukket på klagerens betalingskort på en hjemmeside, og da klageren tjekkede sin netbank, kunne hun konstatere, at der var foretaget en betaling til B. P oplyste klageren, at hun skulle overføre sit indestående til en sikker konto, hvilket klageren gjorde i form af en netbankoverførsel.

Klageren har anført, at hun har foretaget netbankoverførslen, men bestrider at have godkendt korttransaktionen med MitID.

Banken har anført, at klageren godkendte korttransaktionen med sin MitID-app, og at hun foretog og godkendte netbankoverførslen med sit MitID og en bekræftelse af en SMS fra banken.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at korttransaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter med op til 8.000 DKK, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor spørgsmålet om hæftelse for korttransaktionen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnet lægger til grund, i overensstemmelse med det af klageren anførte, at hun selv foretog netbankoverførslen.

Tre medlemmer – Henrik Waaben, Mette Lindekvist Højsgaard og Kritte Sand Nielsen – udtaler:

Vi finder, ud fra klagerens egne oplysninger om at hun foretog netbankoverførslen, at transaktionen blev autoriseret af klageren, jf. herved betalingslovens § 82. Betalingslovens § 100 om uautoriserede transaktioner finder derfor ikke anvendelse. Dette gælder, uanset at det må lægges til grund, at klageren blev narret til at foretage de omtvistede transaktioner i forbindelse med et bedragerisk telefonopkald.

Vi finder heller ikke, at banken på andet grundlag kan gøres ansvarlig for klagerens tab.

To medlemmer – Jacob Ruben Hansen og Kim Korup Eriksen – udtaler:

Vi finder, at den manipulation, klageren er blevet udsat for, er at sidestille med en situation, hvor klageren har udleveret oplysninger, herunder NemID-oplysninger, SMS-koder mv., og hvor disse er blevet misbrugt til at gennemføre uautoriserede overførsler.

Klageren har været udsat for organiseret svindel i forbindelse med brug af en betalingstjeneste, som forbrugere forudsættes at anvende for at kunne fungere i vores samfund. Det bør ikke have afgørende betydning, om forbrugeren selv har gennemført transaktionerne, og forbrugeren bør derfor være beskyttet af samme beløbsmæssige grænse som i situationer omfattet af betalingslovens § 100, stk. 4.

I modsat fald ville der opnås en retsstilling for forbrugere, hvor en mindre betydende divergens på handlinger udført af forbrugeren har uproportionale konsekvenser for en forbrugers økonomi, når det, der grundlæggende er ens i begge situationer, netop er manipulation og organiseret svindel uden for forbrugerens kontrol, og som en forbruger netop skal være beskyttet imod som udtrykt i § 100, stk. 4, hvorfor en analogi af denne bestemmelse er relevant i nærværende sag.

Klageren bør derfor alene hæfte med 8.000 DKK., ligesom i situationer omfattet af betalingslovens § 100, stk. 4.

Vi stemmer derfor for, at klageren skal have 49.973,62 DKK. tilbage.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen vedrørende korttransaktionen.

Klageren får ikke medhold i klagen over netbankoverførslen.