Indsigelse mod at hæfte for op til 8.000 kr. af korttransaktion. Aktivering/indrullering af MitID-app på svindlers enhed.

Sagsnummer:377/2023
Dato:30-08-2024
Ankenævn:Helle Korsgaard Lund-Andersen, Inge Kramer, Karin Sønderbæk, Morten Bruun Pedersen og Elizabeth Bonde.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod at hæfte for op til 8.000 kr. af korttransaktion. Aktivering/indrullering af MitID-app på svindlers enhed.
Indklagede:Vestjysk Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for op til 8.000 kr. af korttransaktion. Aktivering/indrullering af MitID-app på svindlers enhed.

Sagens omstændigheder

Klageren var kunde i Vestjysk Bank, hvor hun havde en konto med et tilknyttet Visa/dankort -616.

I maj 2023 forsøgte klageren at sælge et par sko og blev i den forbindelse kontaktet af en person P. Klageren har fremlagt en korrespondance med person P, hvoraf fremgår:

”…

[Person P]: OK, jeg skal bruge dit telefonnummer for at fortsætte.

[Klageren]: [telefonnummer -080]

[Person P]: Jeg betalte for varerne. Du vil modtage en sms inden for 5 minutter, der fortæller dig, at varen er betalt

20. MAJ 16.3

[Klageren]: Hvad med fragt og de 25 kr. til emballage?

[Person P]: Jeg har ændret prisen. Jeg har nu betatalt 175 kr.

[Klageren]: Ok, og fragten – hvordan afregnes den?

[Person P]: Du har fået en sms. Du gennemgår sms’en og får pengene. Kureren ringer derefter til dig for at hente varerne

…”

Banken har fremlagt en udskrift af klagerens MitID-log over klagerens identifikationsmidler. Af denne log fremgår blandt andet, at klageren den 25. august 2022 aktiverede MitID -186 på en iPhone XR.

Af udskriften af klagerens MitID-log fremgår, at MitID -058 blev aktiveret på en iPhone 11 den 20. maj 2023 kl. 19:43, og at MitID -256 samme dag kl. 19:56 blev aktiveret på en iPhone 11. Banken har anført, at klagerens MitID -186 den 20. maj 2023 blev anvendt til at bestille en aktiveringskode, og en midlertidig pinkode, som blev anvendt til at aktivere MitID på en tredjemands enhed.

Den 20. maj 2023 blev klagerens Visa/dankort anvendt til en betaling på 5.200 DKK til en beløbsmodtager B, som klageren ikke kan vedkende sig. Banken har oplyst, at betalingen på 5.200 DKK blev godkendt med MitID -256.

Samme dag blev klagerens Visa/dankort forsøgt anvendt til en betaling på 492.000 KZT (Kasakhstanske Tenge) til en betalingsmodtager Z. Klageren har oplyst, at beløbet ikke blev hævet på hendes konto.

Den 22. maj 2023 modtog klageren en meddelelse fra banken, hvoraf fremgik, at klagerens Visa/dankort var blevet spærret af NETS på grund af mistanke om misbrug, idet det havde været brugt hos betalingsmodtager B og forsøgt brugt hos betalingsmodtager Z.

Klageren gjorde indsigelse over for banken. Den 8. juni 2023 afviste banken klagerens indsigelse.

Den 8. juni 2023 anmeldte klageren forholdet til politiet. 

Parternes påstande

Den 29. juni 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Vestjysk Bank skal godtgøre hende 5.200 DKK.

Vestjysk Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at en svindler har stjålet 5.200 DKK fra hende. Svindleren har misbrugt hendes identitet og MitID til at stjæle 5.200 DKK. Hun havde en SMS-korrespondance med svindleren, og har oplyst banken og politiet om svindlerens telefonnummer.

NETS spærrede hendes betalingskort, men meddelte hende, at beløbet ikke kunne føres tilbage, da hun havde godkendt beløbet. Hun har hverken godkendt betalingen eller betalingsmodtageren.

Det kan ikke være rigtigt, at nogen kan misbruge hendes MitID, som hun som borger er blevet påtvunget at benytte. En transaktion på 5.200 DKK til den pågældende betalingsmodtager ville aldrig være godkendt af hende. Hun ville have afvist betalingen. Beløbet skal refunderes fra svindlerne.

Banken er ikke fri for ansvar. NETS og MitID er medskyldige. Det burde ikke være muligt at svindle via MitID, da det skulle forestille at være en sikker løsning. Løsningen er ikke sikker, når der foregår så meget bedrageri med det, uden det bliver stoppet.

Det er utilstedeligt, at bankerne dækker sig ind under en selvrisiko på 8.000 DKK.

Vestjysk Bank har anført, at banken er enig i, at klageren er blevet svindlet.

Svindleren har i forbindelse med svindlen oprettet to nye MitID på fysiske enheder, der ikke tilhører klageren. For at oprette MitID på en anden enhed, skal dette godkendes to gange pr. app af klageren og med ca. en times mellemrum. Da der er oprettet to MitID, er der foretaget fire godkendelser i alt. Klageren gav i den forbindelse svindleren adgang til at ændre i klagerens profil, herunder det til profilen angivne telefonnummer.

Klageren burde have været opmærksom på, at hun var i gang med at godkende oprettelse af nye MitID, og at hun godkendte dette. Klageren har derved sat svindlerne i stand til at disponere over hendes midler. Klagerens adfærd har været af en sådan karakter, at banken er berettiget til at anvende en selvrisiko på 8.000 DKK, jf. betalingslovens § 100.  

Ankenævnets bemærkninger

Klageren var kunde i Vestjysk Bank, hvor hun havde en konto med et tilknyttet Visa/dankort -616.

Banken har fremlagt en udskrift af klagerens MitID-log over klagerens identifikationsmidler. Af denne log fremgår blandt andet, at klageren den 26. oktober 2021 aktiverede MitID -186 på en iPhone XR.

Af udskriften af klagerens MitID-log fremgår, at MitID -058 blev aktiveret på en iPhone 11 den 20. maj 2023 kl. 19:43, og at MitID -256 samme dag kl. 19:56 blev aktiveret på en iPhone 11. Banken har anført, at klagerens MitID -186 den 20. maj 2023 blev anvendt til at bestille en aktiveringskode, og en midlertidig pinkode, som blev anvendt til at aktivere MitID på en tredjemands enhed.

Den 20. maj 2023 blev klagerens Visa/dankort anvendt til en betaling på 5.200 DKK til en beløbsmodtager B, som klageren ikke kan vedkende sig. Banken har oplyst, at betalingen på 5.200 DKK blev godkendt med MitID -256.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Det er oplyst i sagen, at klageren den 20. maj 2023 havde en SMS-korrespondance med tredjemand, som anmodede hende om hendes telefonnummer, og som meddelte hende, at hun ville modtage en SMS, som hun skulle gennemgå, inden hun kunne modtage købesummen for salget af et par sko. Det er uoplyst, hvad der er foregået herefter, herunder hvilke oplysninger tredjemand har anvendt for at kunne logge ind på klagerens MitID og foretage ændringer af klagerens MitID-profil, og hvorvidt klageren har eller måtte have udleveret disse oplysninger.

Ankenævnet finder, at en afklaring af de nærmere omstændigheder omkring forløbet omkring aktiveringen af klagerens MitID på tredjemands enhed forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.