Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagsnummer:120/2024
Dato:25-09-2024
Ankenævn:Bo Østergaard, Christina Bryanth Konge, Andreas Moll Årsnes, Morten Bruun Pedersen og Elizabeth Bonde.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Indklagede:Sparekassen Sjælland-Fyn
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Sparekassen Sjælland-Fyn, hvor hun havde en konto med et tilknyttet Visa/Dankort -814.

Sparekassen har fremlagt sine regler for Visa/Dankort af en uspecificeret dato, hvoraf blandt andet fremgår:

”…

3.1 Betaling

Inden du godkender en betaling eller en hævning, skal du altid sikre dig, at beløbet er korrekt. Betalinger, som du har godkendt, kan ikke tilbagekaldes. Se dog afsnit 7 og 8 vedrørende muligheden for tilbageførsel af en betaling.

8. Tilbageførsel af betalinger du ikke har godkendt

Hvis du mener, der er gennemført en eller flere betalinger med dit kort, som du ikke har godkendt, medvirket til eller foretaget, skal du kontakte pengeinstituttet snarest muligt efter, at du er blevet opmærksom på den uautoriserede transaktion.

Du skal kontakte dit pengeinstitut hurtigst muligt, men senest 13 måneder efter, at beløbet er trukket på din konto.

Dit pengeinstitut vil herefter undersøge din indsigelse. Mens din indsigelse bliver undersøgt nærmere, vil det omtvistede beløb normalt blive indsat på din konto. Hvis indsigelsen efterfølgende viser sig at være uberettiget, vil pengeinstituttet igen hæve beløbet på din konto. Viser undersøgelsen, at der er tale om andres uberettigede brug af kortet, vil pengeinstituttet eventuelt kunne gøre ansvar gældende overfor dig, jf. afsnit 10.

10. Dit ansvar ved misbrug af dit Visa/Dankort

Du skal dække tab op til 8.000 kr. i tilfælde af, at dit Visa/Dankort har været misbrugt af en anden person og der i den forbindelse er anvendt personlig sikkerhedsforanstaltning, og

  • Du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse

…”

Klageren installerede MitID -662 på en Samsung mobiltelefon.

Den 7. november 2023 blev der med klagerens betalingskort foretaget en betaling på 1.391,32 EUR svarende til 10.487,99 DKK til en udenlandsk betalingsmodtager, betalingsmodtager M, som klageren ikke kan vedkende sig.

Klageren har oplyst, at baggrunden for betalingen var, at hun modtog e-mails, der fremstod som om, at de var fra DBA, hvoraf fremgik, at hendes betalingskort ikke længere kunne anvendes, hvorfor hun ved at klikke på et medsendt link skulle opdatere sine oplysninger. Ved at følge linket modtog hun en meddelelse, hvoraf fremgik, at hun skulle logge ind med sit MitID og indtaste sine kortoplysninger. Hun fulgte anvisningerne og godkendte anmodningen. Klageren har endvidere oplyst, at der pludselig fremgik et beløb på skærmen, som ikke havde noget med hendes opdatering at gøre, da hun ikke skulle købe noget. Beløbet var i EUR. Hun kendte intet til det og tænkte, at det måtte være en fejl, da det lynhurtigt forsvandt igen. Hun lukkede herefter computeren og kontaktede sparekassens supportafdeling, som straks spærrede hendes betalingskort.

Sparekassen har fremlagt en e-mail fra Nets af 24. november 2023, hvoraf fremgår:

”…

Date and time: 07.11.2023 17:13

Amount: 1391,32 (EUR)

Approved method: mitid.code_app (071)

IP address: [-.210]

IP Country: DK (DENMARK)

Text sent to MitID app: Betal 1391,32 EUR til [betalingsmodtager M] fra kort [-814]

…”

Sparekassen har anført, at betalingen blev godkendt af klageren i klagerens MitID og har fremlagt en udskrift fra klagerens MitID-log, hvoraf fremgår, at klagerens MitID -662 blev anvendt til autentificering den 7. november 2023.

Ved indsigelsesblanket af en uspecificeret dato gjorde klageren indsigelse mod betalingen. Af indsigelsen fremgår blandt andet:

”…

Beskriv hvad der er sket: ...

Der er trukket penge for en ulovlig transaktion/phishing 7.11., og bogført 14.11.23. Det var en opdatering af kort via et link, som var falsk. Jeg fik hurtigt spærret It, men alligevel er der trukket penge senere, og jeg kender intet til det firma.

Havde du kortet på købstidspunktet?

Ja, og det er kun mig, der har haft adgang til mit kort.

Hvor opbevarede du dit kort?

I min pung

Vælg en indsigelsesårsag for hver transaktion og beskriv, hvorfor du gør indsigelse mod beløbet. …

Jeg har ikke foretaget dette køb.

Er du på noget tidspunkt blevet kontaktet og bedt om at bekræfte/oplyse dit betalingskort eller dine personlige oplysninger? …

Nej, jeg er ikke blevet kontaktet

Har du forsøgt at identificere nogle af transaktionerne med hjælp fra dit pengeinstitut eller forretningen? …

Nej

…”

Den 29. november 2023 meddelte sparekassen klageren, at den ville dække hendes tab med fradrag af 8.000 DKK.

Den 5. december 2023 gjorde klageren indsigelse mod sparekassens afgørelse af 29. november 2023.

Den 6. december 2023 fastholdt sparekassen sin afgørelse af 29. november 2023.

Parternes påstande

Den 17. februar 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Sjælland-Fyn skal godtgøre hende 8.000 DKK.

Sparekassen Sjælland-Fyn har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at sagen skal realitetsbehandles, så hun kan blive renset for at have handlet groft uforsvarligt og på den baggrund undgår at betale en høj selvrisiko. Sagen var ikke blevet realitetsbehandlet, da hun indledningsvist modtog et generelt svar fra sparekassen om, at hun f.eks. kunne installere ”Digitalt selvforsvar”, hvilket hun har haft længe. I ”Digitalt selvforsvar” var der ingen advarsler. ”Digitalt selvforsvar” opdaterer ikke hele tiden, og der kan derfor nemt ske svindel, når der ingen advarsler er. Det er underligt og utrygt, at man hele tiden skal tjekke.

Hun er meget påvirket af situationen og har også været nødsaget til at få professionel hjælp til at håndtere situationen. Hun har betalt en høj pris for digitalt tyveri.

Hun var i god tro og havde ingen grund til at betvivle modtagne e-mails, der fremstod som om, at de var fra DBA. Hun så dem som en god service og har aldrig tidligere haft grund til at have mistro til DBA. Hun har intet kendskab til, hvordan hun skulle kende forskel på en ægte og en uægte e-mail. Nogle links er ægte og andre er ikke.

Hun undrede sig over, at hun skulle anvende sit MitID og indtaste sine kortoplysninger ved opdateringen på DBA, men gjorde det, hun blev anmodet om. Hun troede, at hun gjorde det rigtige. Hun havde ingen anelse om, at det kunne være forkert. Hun havde aldrig hørt om phishing, som hun senere fandt ud af, hun var udsat for.

Hun undrede sig over, at der pludselig dukkede et beløb op på skærmen, da det intet havde med hendes opdatering at gøre, idet hun ikke var ved at købe noget. Beløbet var i EUR. Hun kendte intet til det og tænkte, at var en fejl. Beløbet forsvandt hurtigt igen. Hun slukkede sin computer og snakkede med sin ægtefælle om det. Hun tjekkede sin netbank, men kunne ikke se, at der var trukket et beløb.

Efter spærringen af hendes betalingskort og MitID bestilte hun et nyt MitID. Hun tjekkede SKAT. Anmeldte forholdet til politiet og rensede sin computer.

Det undrer hende, at sparekassen ikke kunne bremse betalingen, når der gik lang tid fra gennemførelsen og selve bogføringen af betalingen. Det undrer hende, at Nets ikke straks afviser betalinger fra andre lande, når den modtager en indsigelse fra kortholderen.  

Hun har været påpasselig og ansvarlig og har handlet så hurtigt hun kunne. Alt foregik meget hurtigt og beløbet forsvandt så hurtigt, at hun ikke vidste, om det var rigtigt eller forkert. En selvrisiko på 8.000 DKK er urimelig. Dette er den både i forhold til beløbets størrelse og i forhold til de selvrisici, man har i sine forsikringsaftaler. Det er de kriminelle og ikke hende, der har handlet ulovligt. Det krænker hendes retsbevidsthed, når hendes handling betragtes som ”groft uforsvarlig”, da hun efter sin bedste intention ikke har handlet uansvarligt.

Sikkerheden i sparekassen bør blive bedre. Sikkerheden for kunder er ikke god. Hun havde handlet i god tro og tillid til de elektroniske redskaber, som alle var pålagt at bruge, og som hun forventede var 100 % sikre. Det var de ikke.

Politiet har afsluttet sagen og meddelt hende, at de ikke kan gøre yderligere.

Sparekassen Sjælland-Fyn har anført, at det af klagerens tro og love-erklæring fremgår, at klageren var af en opfattelse, at hun skulle opdatere kortoplysninger hos DBA, og at hun i den forbindelse godkendte en betaling med sit MitID.

Klageren har været udsat for phishing. Klageren har som følge af tredjemands phishing foretaget og godkendt betalingen selv, hvorfor forholdet er omfattet af betalingslovens § 100, stk. 4 nr. 3. Det gælder uanset hvor godt gennemført, misledende og foruroligende phishingoplevelsen har været for klageren.

Betalingen blev godkendt i klagerens MitID, der var installeret på hendes mobiltelefon, hvormed betalingen blev godkendt med stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Betalingen er ligeledes korrekt registreret og bogført og har ikke været ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98.

Både betalingsmodtageren og beløbet, der blev godkendt, fremgik klart og tydeligt af teksten, der blev vist i klagerens MitID. Klageren godkendte betalingen, men burde have læst teksten i forbindelse med godkendelsen og undladt at godkende betalingen.

Det er derfor sparekassens vurdering, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, og derved bør hæfte med 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3, og ikke kun med 375 DKK, jf. betalingslovens § 100, stk. 3. Sparekassen har godtgjort klageren 2.487,99 DKK.

Det følger af betalingslovens § 111, stk. 1, at når en transaktion er godkendt med MitID, er transaktionen gennemført og endelig, og det er ikke muligt for sparekassen at tilbagekalde beløbet, som klageren har godkendt. Sparekassen har derfor ikke haft mulighed for at forhindre betalingen i at blive gennemført.

Ankenævnets bemærkninger

Klageren var kunde i Sparekassen Sjælland-Fyn, hvor hun havde en konto med et tilknyttet Visa/Dankort -814.

Klageren havde installeret MitID -662 på en Samsung mobiltelefon.

Den 7. november 2023 blev der med klagerens betalingskort foretaget en betaling på 1.391,32 EUR svarende til 10.487,99 DKK til en udenlandsk betalingsmodtager, betalingsmodtager M, som klageren ikke kan vedkende sig.

Klageren har oplyst, at baggrunden for betalingen var, at hun modtog e-mails, der fremstod som om, at de var fra DBA, hvoraf fremgik, at hendes betalingskort ikke længere kunne anvendes, hvorfor hun ved at tilgå et medsendt link skulle opdatere sine oplysninger. Klageren har oplyst, at hun fulgte linket, og at hun modtog en meddelelse, hvoraf fremgik, at hun skulle logge ind med sit MitID og indtaste sine kortoplysninger. Hun fulgte anvisningerne og godkendte anmodningen. Klageren har oplyst, at der pludselig fremgik et beløb på skærmen. Beløbet var i EUR. Hun kendte intet til det og tænkte, at det måtte være en fejl, da det lynhurtigt forsvandt igen. Hun lukkede herefter computeren og kontaktede sparekassens supportafdeling, som straks spærrede hendes betalingskort.

Sparekassen har fremlagt en e-mail fra Nets af 24. november 2023, hvoraf fremgår, at betalingen på 1.391,32 EUR blev godkendt i MitID, og at der forinden godkendelsen fremgik følgende godkendelsestekst i MitID: ”Betal 1391,32 EUR til [betalingsmodtager M] fra kort [-814]”. Sparekassen har anført, at betalingen blev godkendt af klageren i klagerens MitID og har fremlagt en udskrift fra klagerens MitID-log, hvoraf fremgår, at klagerens MitID -662 blev anvendt til autentificering den 7. november 2023.

Ved indsigelsesblanket af en uspecificeret dato gjorde klageren indsigelse mod betalingen på 10.487,99 DKK.

Den 29. november 2023 meddelte sparekassen klageren, at den ville dække hendes tab med fradrag af 8.000 DKK, hvorfor den godtgjorde hende 2.487,99 DKK.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet lægger til grund, at transaktionen skyldtes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens MitID er en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.

Efter lov om betalinger § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Bo Østergaard, Christina Bryanth Konge og Andreas Moll Årsnes – udtaler:

Vi finder, at det må lægges til grund, at klageren har godkendt betalingen på 1.391,32 EUR i sin MitID.

Vi finder herefter, at sparekassen har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, hvor hun fik oplysninger om beløbet på 1.391,32 EUR og beløbsmodtageren, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi finder ikke, at sparekassen kan gøres ansvarlig på andet grundlag.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Elizabeth Bonde – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, hvor forbrugeren oplever, at beløbet ændrer sig efter, at transaktionen er godkendt, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, hvor beløbet først ændres efter, at transaktionen er godkendt.

Vi finder ikke, at sparekassen har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at sparekassen er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at sparekassen skal tilbageføre 7.625 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.