| Sagsnummer: | 385/2024 |
| Dato: | 21-03-2025 |
| Ankenævn: | Kristian Korfits Nielsen, Christina Bryanth Konge, Janni Visted Hansen, Morten Bruun Pedersen og Anna Marie Schou Ringive. |
| Klageemne: | Betalingstjenester - spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 DKK af en korttransaktion, der blev godkendt i MitID. |
| Indklagede: | Nykredit Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af en korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Nykredit Bank, hvor han havde en konto med et tilknyttet betalingskort. Den 15. august 2022 aktiverede klageren MitID -846 på en Samsung Galaxy mobiltelefon.
Banken har fremlagt en meddelelse i netbank af 12. maj 2023, som var sendt til dens kunder, hvoraf blandt andet fremgår:
”…
HUSK:
-INGEN med reelle hensigter vil nogensinde bede dig om personlige koder til MitID eller dit kort
-INGEN, hverken Nykredit, Politiet, andre virksomheder, offentlige instanser eller lign., vil bede dig om at overføre penge til konti, som du ikke kender
- Indtast ALDRIG MitID-oplysninger, kort-oplysninger eller andre personlige data i modtagne links
- TRYK ALDRIG på links i beskeder fra køber/sælger, når du handler med private på nettet
…”
Klageren har oplyst, at han ultimo maj 2024 fik et nyt betalingskort -585, da hans tidligere betalingskort var udløbet. Primo juni modtog klageren en e-mail med et link, der fremstod som at være fra BroBizz, som han flittigt anvendte. Af e-mailen fremgik, at han skulle rette sine data, da der var udfordringer med betaling. Han antog, at udfordringen med Brobizz var opstået, da han havde fået et nyt betalingskort, hvorfor han tilgik linket. Han anvendte i den forbindelse sit MitID.
Den 3. juni 2024 blev der gennemført en kortbetaling på 1.314,79 EUR svarende til 9.905,92 DKK med klagerens betalingskort -585 til en udenlandsk betalingsmodtager, betalingsmodtager A, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -846. Banken har fremlagt en udskrift fra sit system med teksten, der blev vist i klagerens MitID i forbindelse med godkendelsen af betalingen. Af teksten fremgik:
”Betal 1314,79 EUR til [betalingsmodtager A] fra kort [-585]”
Banken har oplyst, at klageren den 12. juni 2024 gjorde indsigelse mod transaktionen.
Den 27. juni 2024 godtgjorde banken klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 1.905,92 DKK til klagerens konto.
Den 29. juni 2024 gjorde klageren indsigelse mod bankens afgørelse. Af klagerens indsigelse fremgår blandt andet:
”…
Jeg er ikke it expert, og jeg forestår og jeg forstår ikke at mit visa og mit id, er blevet misbrugt af en svindler fra Madrid. Mit betalings kort har ligget i min pung og ikke været efterladt nogen steder. Som pensionist ville jeg ALDRIG købe for så mange penge, og slet ikke i udlandet. Jeg har heller ikke været i Madrid. Jeg opgiver at skrive mere, jeg ved kun at jeg aldrig ville svindle eller lyve. mit håb er at jeg måske ville få nogle penge til at betale vores termin. Håber for jeres forståelse. […]
…”
Den 5. juli 2024 fastholdt banken sin afgørelse af 27. juni 2024.
Parternes påstande
Den 16. juli 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Nykredit Bank skal godtgøre ham sit fulde tab.
Nykredit Bank har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at hændelsen ikke kan betragtes som ”groft uforsvarlig adfærd”, hvorfor banken skal erstatte det fulde beløb.
Der er desværre mange svindel-e-mails i omløb, som fremstår som at være fra Brobizz. Forud for svindlen havde han fået et nyt betalingskort. Da han flittigt anvendte Brobizz, antog han, at problemet med betaling skyldtes det nye betalingskort. Ankenævnet bør i sin vurdering om groft uforsvarlig adfærd have forklaringen om modtagelsen af et nyt dankort med i sin vurdering.
Ifølge en artikel i Sjællandske Nyheder af 28. juni 2024 har politiets Nationale enhed for Særlig Kriminalitet (NSK) udsendt en advarsel om falske mails fra Brobizz. NSK henviser til, at man skal benytte MitID, og at dette giver svindleren direkte adgang til brugerens betalingskort.
Under hensyn til modtagelsen af det nye dankort, sammenholdt med at advarslen fra NSK kom efter hændelsen, kan man ikke betragte hans handling som ”groft uforsvarlig adfærd”.
Nykredit Bank har anført, at den omhandlede betalingstransaktion blev foretaget af klageren selv. Betalingstransaktionen blev foretaget med stærk kundeautentifikation i form af godkendelse med MitID -846, som blev aktiveret den 15. august 2022 på en Samsung Galaxy. MitID -846 er tilknyttet og godkendt fra den telefon, som klageren almindeligvis anvender.
Ved godkendelsen i MitID -846 fremgik følgende tekst: ”Betal 1314,79 EUR til [betalingsmodtager A] fra kort [-585]”, hvorefter klageren swipede godkend til betalingstransaktionen.
Klageren har derved ved groft uforsvarlig adfærd muliggjort misbruget i overensstemmelse med betalingslovens § 100, stk. 4, nr. 3, der fastslår en egen hæftelse på op til 8.000 DKK. Dette synspunkt stemmer overens med Ankenævnets praksis.
Klagerens påstand angående, at klageren, kort tid forinden misbruget fandt sted, havde modtaget et nyt dankort, bør ikke tillægges betydning, idet det ikke ændrer på sagens udfald, da betalingen var godkendt af klageren selv.
Banken har på sin hjemmeside gode råd til, hvordan man undgår svindel, og har derudover sendt en meddelelse til klageren via netbank om, at han skal være opmærksom på svindel.
Banken har gjort, hvad der var muligt for at begrænse klagerens tab i videst muligt omfang. Banken har ikke handlet ansvarspådragende.
Ankenævnets bemærkninger
Klageren var kunde i Nykredit Bank, hvor han havde en konto med et tilknyttet betalingskort. Den 15. august 2022 aktiverede klageren MitID -846 på en Samsung Galaxy mobiltelefon.
Klageren har oplyst, at han ultimo maj 2024 fik et nyt betalingskort -585, da hans tidligere betalingskort var udløbet. Primo juni modtog klageren en e-mail med et link, der fremstod som at være fra BroBizz. Af e-mailen fremgik, at han skulle rette sine data, da der var udfordringer med betaling. Han antog, at udfordringen med Brobizz var opstået, da han havde fået et nyt betalingskort, hvorfor han tilgik linket. Han anvendte i den forbindelse sit MitID.
Den 3. juni 2024 blev der gennemført en kortbetaling på 1.314,79 EUR svarende til 9.905,92 DKK med klagerens betalingskort -585 til en udenlandsk betalingsmodtager, betalingsmodtager A, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -846. Banken har fremlagt en udskrift fra sit system med teksten, der blev vist i klagerens MitID i forbindelse med godkendelsen af betalingen. Af teksten fremgik: ”Betal 1314,79 EUR til [betalingsmodtager A] fra kort [-585]”.
Klageren har anført, at forholdet ikke udgør groft uforsvarlig adfærd, hvorfor banken skal dække hele tabet.
Den 27. juni 2024 godtgjorde banken klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 1.905,92 DKK til klagerens konto.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2, er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID er en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen er der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Kristian Korfits Nielsen, Christina Bryanth Konge og Janni Visted Hansen – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at klageren har godkendt betalingen på 1.314,79 EUR med sit MitID.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID, hvor han fik oplysninger om beløbet på 1.314,79 EUR og beløbsmodtager A, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Morten Bruun Pedersen og Anna Marie Schou Ringive – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.