| Sagsnummer: | 630/2024 |
| Dato: | 10-10-2025 |
| Ankenævn: | Katrine Waagepetersen, Inge Kramer, Signe Kjørup Carlsson, Rolf Høymann Olsen og Ann-Mari Faldt Agerlin. |
| Klageemne: | Betalingstjenester - spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger Afvisning - bevis § 5, stk. 3, nr. 4 Afvisning - Ankenævnets kompetence, § 2, stk. 1 |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID. |
| Indklagede: | Jyske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Jyske Bank, hvor han blandt andet havde en konto med et tilknyttet betalingskort -234.
Klageren har oplyst, at han modtog en e-mail, der fremstod som vedrørende fornyelse af hans domæne. Af e-mailen fremgik, at klageren skulle indtaste sine kortoplysninger. Klageren gav de efterspurgte oplysninger samt trykkede på et link, hvoraf fremgik, at han skulle betale cirka 140 DKK.
Den 3. september 2024, klokken 21:38:42 blev der gennemført en kortbetaling på 1.242,48 EUR svarende til 9.360,84 DKK med klagerens betalingskort -234 til en udenlandsk betalingsmodtager, betalingsmodtager H, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -891. Banken har fremlagt en udskrift fra Nets med teksten, der blev vist i klagerens MitID i forbindelse med godkendelsen af betalingen. Af teksten fremgik:
”Betal 1242,48 EUR til [betalingsmodtager H] fra kort [-234]”
Banken har oplyst, at transaktionen var korrekt registreret og bogført.
Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf blandt andet fremgår, at MitID -891 blev aktiveret den 24. april 2022.
Klageren gjorde indsigelse mod betalingen ved tro og love-erklæring af 7. september 2024 over for banken. Af erklæringen fremgår blandt andet:
”Jeg erklærer på tro og love, at nedenstående oplysninger er korrekte. Hvis politiet efterforsker sagen, er jeg indforstået med, at kortudsteder giver politiet de oplysninger, de har brug for i forbindelse med sagen. …
Forløb
Progress
Information regarding [betalingsmodtager O] subscription. Cheched via the net to see if it was legitimate and everything seemed normal until near the end. I became suspicious a nd bailed out prior to authorising any transaction. Nothing was authorised via MitID. The card was cancelled the following morning after talking to the bank.
Udleverede oplysninger
Provided information
Card details.”
Den 12. september 2024 godtgjorde banken klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 1.360,84 DKK til klagerens konto.
Klageren gjorde indsigelse mod bankens afgørelse. Banken fastholdt sin afgørelse.
Klageren har anført, at han efterfølgende kontaktede Digitaliseringsstyrelsen for at indhente supplerende oplysninger. Digitaliseringsstyrelsen bemærkede, at de fleste IP-adresser i klagerens MitID-hændelseslog hidrørte fra kommune K, mens en IP-adresse hidrørte fra Giza i Egypten.
Klageren har fremlagt korrespondancen med Digitaliseringsstyrelsen samt uddrag af klagerens MitID-log, hvoraf blandt andet fremgår, at der den 3. september 2024, klokken 21:38:43 blev foretaget en MitID-handling fra en iPhone med en anden IP-adresse end den IP-adresse, som sædvanligvis anvendtes.
Banken har anført, at MitID-handlingen den 3. september 2024, klokken 21:38:43 blev foretaget efter, at klageren klokken 21:38:42 godkendte den i sagen omhandlede betaling.
Parternes påstande
Den 18. december 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank og MitID skal godtgøre ham 8.000 DKK.
Jyske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har blandt andet anført, at han ikke godkendte betalingen den 3. september 2024. Hans betalingskort blev spærret, men banken nægter ethvert ansvar. Den kompenserede ham efterfølgende for beløbet ud over 8.000 DKK. Han var ikke tilfreds hermed. Han henvendte sig derfor til MitID, der henviste til Digitaliseringsstyrelsen. Digitaliseringsstyrelsen sendte ham nogle informationer og oplyste, at der var yderligere informationer, som styrelsen var ude af stand til at indhente. Digitaliseringsstyrelsen oplyste også, at andre havde oplevet lignende manipulation og svindel.
Banken og MitID skal tage ansvar for, at den ulovlige transaktion kunne autoriseres uden hans samtykke. Han har ikke godkendt den udenlandske overførsel. Svindleren har manipuleret med transaktionen uden hans viden. Banken og MitID skal betale alle pengene retur samt forklare, hvordan betalingen kunne ske.
Det var ikke kun banken, der handlede ansvarspådragende i forbindelse med svindlen. Den ansvarspådragende adfærd skete i forening med MitID. Han er nødsaget til at anvende MitID til brug for kontakt med myndigheder og banker. Han antog, at systemet var sikkert. Det var tydeligvis ikke tilfældet. Der er alvorlige systemudfordringer med godkendelsen af betalinger, når der kan foretages svindeltransaktioner. En autorisation på cirka 140 DKK blev manipuleret til brug for autorisation af svindeltransaktioner. Det er tydeligt i loggen, at der blev anvendt en iPhone fra en IP-adresse i Egypten. Han havde ingen af delene.
Det er uacceptabelt, at han skal hæfte med op til 8.000 DKK, når det er bankens system, der fejlede. Han skal ikke holdes ansvarlig for systemfejl.
Banken hævder, at han ikke udviste rettidig omhu, selvom han undersøgte transaktionen så grundigt som muligt. Han antog, at han maksimalt kunne miste 140 DKK. Svindeltransaktionen blev betalt i euro, hvilket havde fået hans alarmklokker til at ringe, da han betalte regninger til betalingsmodtager O i kroner. Det samme gælder beløbets størrelse. Beløbet havde medført, at han undersøgte sagen nærmere.
Banken har tilsyneladende forsømt at læse MitID-loggen, som han har fremlagt. Det fremgår tydeligt, at der blev anvendt en iPhone den 3. september 2024, klokken 21:38:43, mens det ikke fremgår ved alle de andre adgange. Det tilbageviser utvetydigt bankens påstand om, at han ved autorisationen med MitID på sin Android-telefon blev forevist både beløbet og betalingsmodtageren.
Jyske Bank har til støtte for frifindelsespåstanden blandt andet anført, at klagen skal afgøres efter betalingslovens § 100, stk. 4, nr. 3.
Den personlige sikkerhedsforanstaltning blev anvendt, da betalingstransaktionen blev godkendt med klagerens MitID -891, der blev installeret den 24. april 2022.
Af Nets’ autentifikationsportal sammenholdt med skærmprintet fra Nets’ systemer fremgår, at betalingstransaktionen er korrekt registreret og bogført og ikke har været ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Klagerens MitID er en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Klageren har ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse, da det lægges til grund, hvilket bekræftes af klageren, at klageren fulgte et link i en e-mail, som han troede var fra hans domæneudbyder, og hvor han blev anmodet om at godkende en betaling for sit domæne for at undgå permanent sletning af hans tjenester. Klageren godkendte den i sagen omhandlede betalingstransaktion i sin egen MitID-app.
Klageren fik i godkendelsesbilledet i MitID-appen, netop forinden han godkendte betalingen, forevist både beløbets størrelse samt navn på beløbsmodtageren.
Det fremgik klart af godkendelsesteksten, at klageren var i færd med at godkende og gennemføre en betaling på 1.242,48 EUR svarende til 9.360,84 DKK til betalingsmodtager H og ikke var i færd med at godkende en betaling for fornyelse af klagerens domæne.
Ovenstående burde have skærpet klagerens opmærksomhed og givet ham anledning til at undersøge sagen yderligere, før han godkendte betalingen. Havde klageren læst detaljerne for betalingen, som de fremgik af godkendelsesteksten i MitID-appen, netop inden han godkendte betalingstransaktionen, kunne misbruget have været undgået.
Ankenævnet har i flere sager om phishing lagt til grund, at det betragtes som groft uforsvarlig adfærd, hvis man godkender en betaling med MitID uden at reagere på godkendelsesteksten i MitID-appen, hvor man både får oplyst beløb og modtager. Herved har man muliggjort den uberettigede anvendelse og hæfter som følge heraf med op til 8.000 kr.
Klageren har ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse og hæfter med 8.000 kr. af tabet, jf. betalingslovens § 100, stk. 4, nr. 3. Klageren er blevet godtgjort 1.360,84 kr., og banken er ikke forpligtet til at godtgøre klageren yderligere beløb.
Banken kunne ikke standse eller tilbageføre en godkendt betaling, da det følger af betalingslovens § 111, at en betalingsordre ikke kan tilbagekaldes efter, at den er modtaget af betalerens udbyder, hvilket vil sige banken.
Betalingen blev modtaget af banken på det tidspunkt, hvor den blev godkendt med klagerens kortoplysninger og i hans MitID-app den 3. september 2024 klokken 21:38. Fra dette tidspunkt var banken ikke berettiget til at tilbageføre betalingen. Ovennævnte regler fremgår desuden af bankens kortbestemmelser for Visa/Dankort, som klageren accepterede i forbindelse med, at han indgik en aftale om et Visa/Dankort med banken.
Banken har ikke begået ansvarspådragende handlinger eller undladelser ved ikke at annullere eller tilbageføre betalingen.
Banken forstår ikke klagerens bemærkninger om, at en iPhone har været benyttet i forbindelse med betalingen. Der skete ikke manipulation af beløbet i forbindelse med godkendelse af betalingen. Banken har dokumenteret, at klageren i forbindelse med godkendelse af betalingen i hans MitID-app, installeret på hans Android-telefon umiddelbart forinden godkendelsen i MitID-appen, fik forevist både beløb og modtager. Da klageren undlod at reagere på godkendelsesteksten, men godkendte betalingen, hæfter klageren efter praksis fra Ankenævnet med 8.000 kr. af betalingen.
Den MitID-handling, som klageren henviser til og som blev foretaget på en iPhone, blev gennemført efter, at klageren kl. 21:38:42 godkendte den i sagen omhandlede betaling – om end den ligger kort tid derefter. Klagerens kortoplysninger med videre blev indtastet på en iPhone. Banken lægger til grund, at svindleren i forbindelse med klagerens godkendelse af den ikke vedkendte betaling ”fiskede” klagerens kortoplysninger og indtastede disse på en iPhone, som befandt sig i Egypten, hvorfor der fremgik en egyptisk IP-adresse for MitID-handlingen. Svindleren forsøgte dermed at godkende en anden betaling med klagerens MitID-app. Da svindleren ikke var i besiddelse af klagerens MitID-app, kunne betalingen ikke godkendes, da klageren ikke godkendte handlingen med sit eget MitID.
Banken har til støtte for afvisningspåstanden anført, at der er sådan en uenighed om det faktisk passerede i sagen, herunder hvilke betalingsoplysninger klageren har fået vist i betalingsflowet og i MitID-appen, at en afgørelse heraf forudsætter en bevisvurdering i form af parts- og vidneforklaringer. Dette kan ikke ske for Ankenævnet, men må i givet fald finde sted ved domstolene, hvorfor sagen skal afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Jyske Bank, hvor han blandt andet havde en konto med et tilknyttet betalingskort -234.
Klageren har oplyst, at han modtog en e-mail, der fremstod som vedrørende fornyelse af hans domæne. Af e-mailen fremgik, at klageren skulle indtaste sine kortoplysninger. Klageren gav de efterspurgte oplysninger samt trykkede på et link, hvoraf fremgik, at han skulle betale cirka 140 DKK.
Den 3. september 2024, klokken 21:38:42 blev der gennemført en kortbetaling på 1.242,48 EUR svarende til 9.360,84 DKK med klagerens betalingskort -234 til en udenlandsk betalingsmodtager, betalingsmodtager H, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation med klagerens MitID -891, som var installeret på klagerens mobiltelefon den 24. april 2022, og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 1242,48 EUR til [betalingsmodtager H] fra kort [-234]”.
Klageren har anført, at han ikke godkendte betalingen.
Den 12. september 2024 godtgjorde banken klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 1.360,84 DKK til klagerens konto.
Ankenævnet kan ikke behandle klagen over MitID, jf. Ankenævnets vedtægter § 2, stk. 1.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.