| Sagsnummer: | 593/2024 |
| Dato: | 01-05-2025 |
| Ankenævn: | Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen, Karin Duerlund, Tina Thygesen og Jørgen Lanng. |
| Klageemne: | Betalingstjenester - spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i MitID-app. |
| Indklagede: | Lån & Spar Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktion godkendt i MitID-app.
Sagens omstændigheder
Klageren var kunde i Lån & Spar Bank, hvor hun havde en konto med et tilknyttet MasterCard.
Den 30. oktober 2024 kl. 08:42 blev der med klagerens betalingskort gennemført en betaling på 21.057 kr. til en betalingsmodtager, F, som klageren ikke kan vedkende sig.
Banken har oplyst, at betalingen blev godkendt med sikkerhedsløsningen 3D Secure ved indtastning af kortoplysninger og ved godkendelse i klagerens MitID-app, og at transaktionen er korrekt registreret og bogført.
Banken har fremlagt en udskrift fra Nets med teksten, der blev sendt til klagerens Mit-ID-app i forbindelse med godkendelsen. Af teksten fremgik:
”Betal 21057,00 DKK til [F] fra kort xx0336”
Klageren gjorde indsigelse mod betalingen over for banken. Klageren oplyste i indsigelsesblanketten, at hun aldrig havde købt noget ved F, at hun ikke havde foretaget købet, og at hun ikke var blevet kontaktet og bedt om at oplyse sit betalingskort eller sine personlige oplysninger.
Banken godtgjorde klagerens tab fratrukket 8.000 kr. og tilbageførte 13.057 kr. til klageren.
Den 27. november 2024 indbragte klageren sagen for Ankenævnet.
I klagen til Ankenævnet oplyste klageren blandt andet:
”…
Jeg skriver derfor igen til bankens indsigelsesafdeling, at jeg ikke kan acceptere afgørelsen og gerne vil have en forklaring og hjælp således at dette ikke kan ske igen. Jeg beder om dokumentation for afgørelsen samt klageadgang.
Banken begrunder afgørelsen med at jeg den 30/10 2024 kl. 08:42 har godkendt transaktionen med MitID og at jeg derfor ifølge Betalingslovens § 100 stk 4, nr. 3, hæfter for 8.000 kr.
Jeg har først fået dokumentation i form af registerudskrift omkring godkendelse med MitID, efter at jeg har bedt om dette. Idet jeg på MitID aktivitetsoversigten kan se, at der udover denne godkendelse er foretaget endnu en godkendelse i samme minut og 2 godkendelser minuttet før, har jeg bedt om aktindsigt/registerindsigt i disse. Dette for at se om der kan være tale om en teknisk fejl. Både bank og nets har indtil nu nægtet at efterkomme denne anmodning eller at undersøge dette nærmere.
…
Jeg har meget svært ved at acceptere, at jeg har handlet groft uagtsomt og derfor bærer en del af skylden og hæfter for 8.000 kr.
Jeg har aldrig handlet med [F] eller været inde på deres hjemmeside. Så jeg forstår simpelthen ikke hvordan dette kan være godkendt med 3D Secure.
Derfor ville jeg gerne have undersøgt alle fire godkendelser som er sket inden for samme minut, for at undersøge om der kunne være sket en teknisk fejl.
Jeg ved, at jeg i dette tidsrum har handlet på nettet hos [en butik G] for 870 kr. og godkendt dette køb med MitID. Jeg har ordrebekræftelsen og har modtaget varerne.
Derudover har jeg godkendt et køb hos Webapoteket på 29 kr. Dette var betaling af fragt for nogle produkter som jeg ville modtage efter at have svaret på en brugerundersøgelse. Jeg har tidligere handlet hos webapoteket uden problemer. Dette beløb ser dog ikke ud til at være trukket på min konto og jeg har aldrig modtaget varerne. Jeg kan være bange for at det er denne 3D secure godkendelse som er blevet til en godkendelse hos [F]. Jeg har dog aldrig set et beløb på 21.057 kr. da jeg godkendte og kan derfor ikke acceptere at jeg har handlet uforsvarligt.
…”
Parternes påstande
Klageren har nedlagt påstand om, at Lån & Spar Bank skal tilbageføre 8.000 kr. til hende.
Lån & Spar Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at såfremt hun må anerkende, at hendes MitID har godkendt transaktionen hos F, er det sket ved misbrug af hendes kortoplysninger og ved fremsendelse af en anden transaktion til godkendelse end den, hun var i gang med hos Webapoteket. Hun har aldrig handlet hos F og har heller ikke modtaget varer derfra. Det vil sige både banken og hun er blevet påført et tab ved misbrug af hendes kortoplysninger. Misbrug af kortoplysninger eller uopmærksomhed kan ikke betragtes som en groft uagtsom handling fra hendes side. Derimod er der tale om tredjemands uberettigede anvendelse af hendes betalingstjeneste. Hun har ikke handlet groft uagtsomt, men hun er blevet snydt af professionelle svindlere.
Selv hvis det fastholdes, at der er tale om grov uagtsomhed, er der to betingelser i betalingsloven, som skal være opfyldt: 1. grov uagtsomhed og 2. undlade at underrette banken straks.
Hun har spærret sit kort og lavet en indsigelse, straks hun kunne se transaktionen på sin konto. Den anden betingelse er formentlig til for at banken kan nå at tilbagekalde betalingen.
Så vidt hun har forstået det, har banken slet ikke forsøgt at stoppe betalingen eller henvendt sig til F, og dermed må det være banken, som har handlet groft uagtsomt.
Hun har læst de afgørelser fra Ankenævnet, som banken har henvist til og kan se, at der ikke er enstemmighed. Det vil sige, at Ankenævnets medlemmer ikke er enige i afgørelserne, hvilket må betyde, at der ikke er klokkeklar hjemmel til at påføre forbrugeren en hæftelse på 8.000 kr. Hun håber derfor, at man vil undersøge, om der eventuelt kan være tale om systemfejl, idet det ikke kan udelukkes, at der i phishing sager er tale om raffineret systemteknisk misbrug, hvor svindlen bliver muliggjort.
Såfremt der ikke kan påvises systemfejl, er der ikke tale om, at begge betingelser i betalingslovens § 100, stk. 4, nr. 3, var opfyldt, og det kan derfor ikke være forbrugeren, som skal hæfte, men i stedet udbyderen af betalingstjenesten jf. betalingslovens § 100, stk. 1.
Lån & Spar Bank har til støtte for frifindelsespåstanden anført, at klageren modtog et phishinglink fra, hvad klageren troede var Webapoteket, og at klageren reagerede på dette phishinglink og godkendte beløbet via sin MitID-app.
NETS har fremlagt dokumentation på, hvilken tekst klageren blev præsenteret for i sin MitID-app, og at beløb og beløbsmodtager tydeligt fremgik af teksten.
Betalingsordren kunne ikke kunne tilbagekaldes, da denne var afgivet straks, jf. betalingslovens § 111, stk. 1.
Ved at godkende beløbet i sin MitID-app hæfter klageren for 8.000 kr. af tabet med henvisning til betalingslovens § 100, stk. 4, som følge af klagerens aktive medvirken.
Der henvises til Ankenævnets praksis i lignende sager blandt andet sag 190/2024, 698/2023 og 749/2023.
Banken har til støtte for afvisningspåstanden anført, at Ankenævnet bør afvise sagen, da det kun vil være muligt at træffe afgørelse i sagen, hvis klageren og eventuelle vidner under strafansvar afgiver mundtlige parts- og vidneforklaringer. Dette kan ikke ske for Ankenævnet, men i givet fald ved domstolene. Ankenævnet bør derfor afvise sagen under henvisning til § 5, stk. 3, nr. 4 i Ankenævnets vedtægter.
Ankenævnets bemærkninger
Klageren var kunde i Lån & Spar Bank, hvor hun havde en konto med et tilknyttet MasterCard.
Den 30. oktober 2024 kl. 08:42 blev der med klagerens betalingskort gennemført en betaling på 21.057 kr. til en betalingsmodtager, F, som klageren ikke kan vedkende sig.
Klageren har oplyst, at hun ikke har foretaget dette køb. Hun har aldrig har købt noget fra F. Hun har godkendt et køb hos Webapoteket på 29 kr. Dette var betaling af fragt for nogle produkter, som hun ville modtage efter at have svaret på en brugerundersøgelse. Hun har tidligere handlet hos Webapoteket uden problemer. Dette beløb ser dog ikke ud til at være trukket på hendes konto, og hun har aldrig modtaget varerne. Hun kan være bange for, at det er denne 3D Secure godkendelse, som er blevet til en godkendelse hos F. I så fald er der sket misbrug af hendes kortoplysninger ved fremsendelse af en anden transaktion til godkendelse end den, hun var i gang med hos Webapoteket.
Banken har oplyst, at betalingen blev godkendt med sikkerhedsløsningen 3D Secure ved indtastning af kortoplysninger og ved godkendelse i klagerens MitID-app, og at transaktionen er korrekt registreret og bogført. Banken har fremlagt en udskrift fra Nets med teksten, der blev præsenteret i klagerens MitID-app. Af teksten fremgik; ”Betal 21057,00 DKK til [F] fra kort xx0336.”
Banken godtgjorde klagerens tab fratrukket 8.000 kr. og tilbageførte 13.057 kr. til klageren.
Det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter den var godkendt, uanset tidspunkt for den efterfølgende spærring af betalingskortet og debitering af beløbet på klagerens konto.
Ankenævnet lægger videre til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen og Karin Duerlund – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 21.057 kr. i sin MitID-app.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID-appen, hvor hun fik oplysninger om beløbet på 21.057 kr. og beløbsmodtageren, og at klageren som følge heraf hæfter med op til 8.000 kr.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Tina Thygesen og Jørgen Lanng – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr. af tabet, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 7.625 kr. til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.