Indsigelse mod at hæfte for korttransaktion på 7.486 kr. godkendt i MitID.

Sagsnummer:413/2023
Dato:19-03-2024
Ankenævn:Helle Korsgaard Lund-Andersen, Andreas Moll Årsnes, Karin Sønderbæk, Morten Bruun Pedersen og Poul Erik Jensen.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for korttransaktion på 7.486 kr. godkendt i MitID.
Indklagede:Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for korttransaktion godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor han havde en konto med et tilhørende Visa/dankort -8249.

Den 26. juni 2023 blev der med klagerens betalingskort gennemført en kortbetaling på 7.486 kr. til en betalingsmodtager, T. Banken har oplyst, at transaktionen var korrekt registreret og bogført.

Om baggrunden for transaktionen har klageren oplyst, at han modtog en e-mail, der så ud til at være fra Nets, hvoraf det fremgik, at hans MitID ville lukke inden for tre uger, hvis han ikke reagerede. Mailen indeholdt et link, som han skulle klikke på og skulle godkende via MitID. Han godkendte for at undgå, at hans konto ville blive lukket. Der blev ikke vist noget beløb til godkendelse i app’en.

Banken har oplyst, at betalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app. Banken har fremlagt en udskrift fra sit system med teksten, der blev sendt til Mit-ID-app i forbindelse med godkendelse af betalingen. Af teksten fremgik:

”Betal 7486,00 DKK til [betalingsmodtager T] fra kort [xx8249].”

Den 29. juni 2023 gjorde klageren indsigelse mod betalingen over for banken. Banken afviste indsigelsen. Klagerens søn klagede på vegne af klageren over afvisningen. Banken fastholdt afvisningen og anførte i sit svar:

”… Du har oplyst, at baggrunden for denne betaling er, at din far modtog en e-mail­ angiveligt fra ''Nets'', men formentlig i virkeligheden fra svindlere - med information om, at hans MitID-konto var blokeret, hvorfor han skulle opdatere sine informationer ved at trykke på et link og udfylde sine personlige oplysninger, herunder sine kortoplysninger, hvilket han gjorde…”

Banken har fremlagt den omhandlede e-mail, der indeholdt følgende:

”Vi informerer dig om,at din MitID-konto er blokeret. straks opdatere dine oplysninger

.Hvis du ikke kan gøre det, sender vi dig en ny kode inden for 3 uger

,Vigtig bemærkning, du vil desværre ikke være i stand til at foretage transaktioner med dit kort

.Opdater dine oplysninger eller vent 3 uger, indtil du modtager en anden speciel kode

https://nets.eu/opdatering...”

Parternes påstande

Den 12. juli 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal tilbageføre 7.486 kr. til ham.

Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at der ikke var noget beløb i app’en. Han skulle klikke på et link og godkende med MitID, idet hans konto ellers ville blive lukket inden tre uger.

Han trykkede på linket og godkendte med MitID i god tro for at undgå, at hans konto blev lukket.

Han er pensionist, har et handicap og har ikke så mange penge til rådighed. Han har ikke styr på disse spams og snyde mails, der kommer på mail og i hans indbakke.

Han er oppe i alderen og har ikke styr på det teknologiske og slet ikke på, at der findes nogle mennesker, der kan snyde folk på den måde, han er blevet snydt på. Han har handlet i god tro ud fra beskeden om, at han skulle forny sit MitID. Han har ikke haft en chance for at gennemskue, at dette var et svindelnummer.

Han har ikke mange penge at leve for. Det har påvirket hans økonomi i en sådan en grad, at han ikke har råd til sin medicin eller mad.

Danske Bank har til støtte for frifindelsespåstanden anført, at den omtvistede kortbetaling blev korrekt registreret og bogført, jf. betalingslovens § 98, stk. 1. Kortbetalingen blev autoriseret med klagerens MitID-app og blev dermed godkendt med stærk kundeautentifikation.

Det må have stået klart for klageren, at han var ved at foretage en betaling på 7.486 kr. til en (for klageren) ukendt modtager, idet følgende tekst blev vist til klageren i Mit-ID-appen forud for godkendelse af betalingen: ”Betal 7486,00 DKK til [betalingsmodtager T] fra kort [xx8249].”

Der foreligger ikke oplysninger om, at klageren befandt sig i en presset situation i forbindelse med betalingen.

På baggrund af disse omstændigheder hæfter klageren selv for 8.000 kr. og dermed hele det omtvistede beløb, idet klageren ved groft uforsvarlig adfærd muliggjorde betalingen, jf. betalingslovens § 100, stk. 4.

I relation til klageren adfærd bemærkes, at mailen, som klageren reagerede på, indeholdt flere henholdsvis sproglige, grammatiske, opsætningsmæssige og faktuelle fejl, hvorfor mailen fremstår endog meget utroværdig.

Danske Bank har til støtte for afvisningspåstanden anført, at klagerens påstand om, at han ikke foretog betalingen, ikke hænger sammen med det faktiske hændelsesforløb, herunder at betalingen blev autoriseret med klagerens MitID-app. En vurdering af sagen vil derfor kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet.

Ankenævnets bemærkninger

Den 26. juni 2023 blev der med klagerens betalingskort gennemført en kortbetaling på 7.486 kr. til en betalingsmodtager, T, som klageren ikke kan vedkende sig.

Om baggrunden for transaktionen har klageren oplyst, at han modtog en e-mail, der så ud til at være fra Nets, hvoraf det fremgik, at hans MitID ville lukke inden for tre uger, hvis han ikke reagerede. Mailen indeholdt et link, som han skulle klikke på og skulle godkende via MitID. Han godkendte for at undgå, at hans konto ville blive lukket. Der blev ikke vist noget beløb til godkendelse i app’en.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Helle Korsgaard Lund-Andersen, Andreas Moll Årsnes og Karin Sønderbæk – udtaler:

Vi finder det godtgjort, at klageren må have godkendt kortbetalingen på 7.486 kr. til betalingsmodtager T i sit MitID.

Vi finder derfor, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, og at klageren som følge heraf hæfter med op til 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Poul Erik Jensen – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr. af tabet, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.111 kr. til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.