Indsigelse mod hæftelse for 8.000 kr. af korttransaktion i forbindelse med modtagelse af phishing-mail.

Sagsnummer:776/2023
Dato:25-09-2024
Ankenævn:Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen, Klaus Tougaard Kristensen, Rolf Høymann Olsen og Poul Erik Jensen.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod hæftelse for 8.000 kr. af korttransaktion i forbindelse med modtagelse af phishing-mail.
Indklagede:Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af phishing mail.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor han havde et betalingskort nr. -0668.

Den 14. september 2023 blev klagerens betalingskort -0668 anvendt til en betaling til en betalingsmodtager, S, på 22.069 kr., som klageren ikke kan vedkende sig.

Om baggrunden for transaktionen har klageren oplyst, at han modtog en mail den 10. september 2023, der fremstod som om, den kom fra PostNord, hvoraf fremgik, at han havde en pakke liggende i tolden, og at der skulle betales moms, eventuel told samt ekspeditionsgebyr inden for fem dage på 31 kr. til PostNord. Han havde bestilt en vare på nettet, som han endnu ikke havde modtaget, hvorfor han troede, at opkrævningen vedrørte denne vare. Han betalte beløbet på 31 kr. med sit betalingskort og blev derefter bedt om at bekræfte betalingen med MitID.

Klageren har oplyst, at han godkendte betalingen med sin MitID og kodeviser, og at han efterfølgende fik en SMS fra banken med en engangskode, som skulle bruges i forbindelse med godkendelse af transaktionen. Af SMS-beskeden fra banken fremgik:

”Godkend dit køb på 22069,00 DKK hos [S] med engangskode: 882085. Købet trækkes på kortnr. XX0068”

Klageren har oplyst, at han ikke godkendte betalingen med engangskoden, da han så beløbet på 22.069 kr. Han kontaktede herefter straks banken, som fik hans betalingskort spærret og anbefalede ham til at spærre hans MitID.

Banken har oplyst, at betalingen blev foretaget i klagerens MitID i form af kodeviser og en adgangskode. Banken har fremlagt en udskrift fra Nets med teksten som blev fremvist ved autorisation, og af teksten fremgik:

”Betal 22069,00 DKK til [S] fra kort xx0668”

Banken har oplyst, at klageren på samme tid, som transaktionen blev godkendt, modtog en SMS med en engangskode til autorisering af betalingen. Nets har indledningsvist bekræftet overfor banken, at klageren benyttede SMS koden til godkendelse af transaktionen, men Nets har efterfølgende korrigeret og oplyst at transaktionen alene blev godkendt med MitID kodeviser og adgangskode.

Beløbet blev trukket på klagerens konto den 18. september 2023.

Klageren gjorde indsigelse overfor banken den 19. september 2023. Den 25. september 2023 skrev banken til klageren, at kortbetalingen på 22.069 kr. blev godkendt med klagerens personlige MitID-app, som var installeret på klagerens Iphone 11 den 27. juni 2023. Den 8. november 2023 skrev banken til klageren, at den ikke kan se, at der var sendt en SMS-besked til klagerens telefon vedrørende godkendelse af transaktionen. Banken havde kun registreret, at der er sendt en SMS-besked til klageren vedrørende spærring af klagerens betalingskort.

Banken har endvidere oplyst, at transaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Banken godtgjorde klageren beløbet fratrukket 8.000 kr.

Parternes påstande

Den 29. december 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal refundere beløbet på 8.000 kr.

Danske Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han handlede på alle de måder, som banken rådgav ham om. Han havde alene godkendt et beløb på 31 kr. til PostNord med sit MitID og kodeviser. Han godkendte ikke betalingen, da han modtog SMS-beskeden fra banken vedrørende beløbet på 22.069 kr. Han har derfor på intet tidspunkt uforvarende godkendt transaktionen.

Han havde på intet tidspunkt handlet groft uforsvarligt, da han alene havde godkendt en transaktion til PostNord på 31 kr. Han godkendte således ikke en overførsel på 22.069 kr. med sin personlige MitID.

Han godkendte alene en transaktion til PostNord på 31 kr. i forsendelsesomkostninger fra sin iPad Air 2 og brugte ikke sin MitID på sin iPhone 11 til transaktionen, men alene sin kodeviser. Han havde på intet tidspunkt givet tilladelse til en overførsel på mere end 31 kr. Yderligere benyttede han ikke sin telefon, men derimod sin iPad Air 2.

Han havde aldrig handlet med den pågældende virksomhed og havde ligeledes intet kendskab til den. Banken har tillagt ham handlinger, som han ikke havde foretaget. Der må ved banken eller Nets have været en eller anden brist på det pågældende tidspunkt.

Han har ikke godkendt betalingen med engangskoden, da han så beløbet på 22.069 kr. Han kontaktede straks banken, som fik hans betalingskort spærret og anbefalede ham til at spærre hans MitID.

Transaktionen blev gennemført fire dage efter, selvom alt burde være spærret. Banken har forsømt at spærre hans konto. På baggrund af hans handlinger bør han få det fulde beløb tilbagebetalt.

Danske Bank har anført, at transaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Transaktionen er gennemført ved klagerens indtastning af kortoplysninger og godkendt med MitID og gennemført med stærk kundeautentifikation.

Klageren har uforvarende godkendt betalingen, og beløbet og beløbsmodtager var synlige ved godkendelsen med MitID, hvorfor det er bankens vurdering, at klageren havde handlet groft uforsvarligt og følgelig hæfter for 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 3.

Kortbetalingen på 22.069 kr. blev godkendt med klagerens personlige MitID-app, som var installeret på klagerens Iphone 11 den 27. juni 2023.

Det er bankens formodning, at klageren har skiftet autorisationsmetode fra SMS og adgangskode til MitID kodeviser og adgangskode, hvorfor han har fået en SMS med en engangskode.

Banken har godtgjort den del af beløbet, der overstiger 8.000 kr. Banken har ikke har mulighed for at stoppe betalinger, når først de er modtaget, jf. betalingslovens § 111,

Banken i øvrigt ikke har handlet ansvarspådragende.

Ankenævnets bemærkninger

Klageren var kunde i Danske Bank, hvor han havde et betalingskort nr. -0668.

Den 14. september 2023 blev klagerens betalingskort -0668 anvendt til en betaling til en betalingsmodtager, S, på 22.069 kr., som klageren ikke kan vedkende sig.

Om baggrunden for transaktionen har klageren oplyst, at han modtog en mail den 10. september 2023, der fremstod som om, den kom fra PostNord, hvoraf fremgik, at han havde en pakke liggende i tolden, og at der skulle betales moms, eventuel told samt ekspeditionsgebyr inden for fem dage på 31 dk. til PostNord.

Klageren har oplyst, at han godkendte betalingen med sin MitID og kodeviser og at han efterfølgende fik en SMS fra banken med en engangskode, som skulle bruges i forbindelse med godkendelse af transaktionen. Klageren har oplyst, at han ikke godkendte betalingen med engangskoden, da han så beløbet på 22.069 kr. Han kontaktede straks banken, som fik hans betalingskort spærret og anbefalede ham til at spærre sin MitID.

Banken har oplyst, at klageren på samme tid, som transaktionen blev godkendt, modtog en SMS med en engangskode til autorisering af betalingen. Nets har indledningsvist bekræftet overfor banken, at klageren benyttede SMS koden til godkendelse af transaktionen, men Nets har efterfølgende korrigeret og oplyst at transaktionen alene blev godkendt med MitID kodeviser og adgangskode.

Det er bankens formodning, at klageren har skiftet autorisationsmetode fra SMS og adgangskode til MitID kodeviser og adgangskode, hvorfor han har fået en SMS med en engangskode.

Betalingen blev foretaget i klagerens MitID i form af kodeviser og en adgangskode. Banken har fremlagt et udskrift fra Nets med teksten som blev fremvist ved autorisation med teksten ”Betal 22069,00 DKK til [S] fra kort xx0668”.

Banken har oplyst, at transaktionen er sket korrekt, og at betalingen er korrekt registreret. Banken godtgjorde klageren beløbet fratrukket 8.000 kr.

Ankenævnet lægger til grund, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter den var godkendt, uanset tidspunktet for den efterfølgende spærring af kortet og debitering ad beløbet på klagerens konto.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Ankenævnet finder, at en afklaring af de nærmere omstændigheder forudsætter en bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage