Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 DKK af kortbetaling, der blev godkendt i MitID.

Sagsnummer: 120/2025
Dato: 15-08-2025
Ankenævn: Kristian Korfits Nielsen, Kritte Sand Nielsen, Signe Kjørup Carlsson, Rolf Høymann Olsen og Ann-Marie Faldt Agerlin.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 DKK af kortbetaling, der blev godkendt i MitID.
Indklagede: Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af kortbetaling, der blev godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor han havde en konto med et tilknyttet Visa/dankort -817.

Den 29. januar 2025 blev der gennemført en kortbetaling på 3.636,63 DKK med klagerens Visa/dankort -817, som klageren ikke kan vedkende sig. Betalingen blev bogført den 31. januar 2025.

Klageren har oplyst, at han modtog en e-mail fra en afsender, der udgav sig for at være streamingtjeneste S, hvori han blev opkrævet betaling for sit abonnement. E-mailen virkede meget autentisk. Han forsøgte at gå ind på afsender, men e-mailen var konstruereret på en sådan måde, at den ikke afslørede afsenderadressen. Han undersøgte, om han kunne foretage betalingen via streamingtjeneste S’ hjemmeside, hvilket ikke var muligt. Han åbnede derefter e-mailen for at foretage indbetalingen på cirka 125 DKK med sit Visa/dankort. Han skulle godkende beløbet med MitID, hvilket han gjorde, hvorefter der kom et blink på skærmen, hvor det ikke var muligt at se en tekst. Derefter kom der et skærmbillede, hvor han skulle godkende beløb med SMS-kontrolnummer, men det modtog han ikke på sin mobiltelefon. Han gentog proceduren, men med samme resultat. Herefter opgav han. Den 26. februar 2025 kl. 13:12 modtog han en SMS om, at hans Visa/dankort var blevet spærret, og at han kunne ringe til et telefonnummer. Han ringede op og talte med en flink kvinde, hvor han forklarede forløbet. Kvinden bad ham straks ændre koden på MitID, hvilket hun hjalp ham med. Kvinden fortalte, at de havde bremset en transaktion, men at der muligvis var en mere. Hvis der kom yderligere træk på hans konto, skulle han lave en indsigelse og afvente et nyt Visa/dankort.

Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-8469, som var installeret på klagerens iPhone SE mobiltelefon den 20. september 2024. Banken har fremlagt en udskrift fra Nets med teksten, der blev vist i klagerens MitID i forbindelse med godkendelsen af betalingen. Af teksten fremgik:

”Betal 3636,63 DKK til [xxx] fra kort xx1817”

Banken har oplyst, at transaktionen er korrekt registreret og bogført og hverken ramt af tekniske svigt eller andre fejl.

Banken har fremlagt en oversigt fra MitID, hvoraf fremgår, at betalingen blev foretaget den 29. januar 2025, og at betalingen blev godkendt med klagerens aktive identifikationsmiddel -8469.

Banken har endvidere fremlagt en oversigt fra bankens systemer, hvoraf fremgår, at ” authentication status” er ”fully authenticated”, og at ”authentication method” er ”mitid.code_app”.

Ved tro- og loveerklæring af 1. februar 2025 gjorde klageren indsigelse mod kortbetalingen.

På et ikke oplyst tidspunkt meddelte banken klageren, at den ikke ville godtgøre ham noget beløb, da hans tab på 3.636,63 DKK var lavere end hans selvrisiko på 8.000 DKK.

Parternes påstande

Den 4. marts 2025 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal tilbageføre 3.636,63 DKK til ham.

Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har blandt andet anført, at han er blevet svindlet. Han har optrådt forsvarligt, og han ved ikke, hvad han kunne gøre yderligere for at undgå svindlen.

Han fik ikke forevist den tekst, som banken har fremlagt. Det ville han naturligvis aldrig have godkendt.

Han indtastede ikke selv et beløb, der svarer til det, der er trukket, og han har ikke set et beløb på de 3.636,63 DKK. Der er lavet en sikkerhed med SMS-kontrolnummer, som åbenbart ikke har fungeret. Når han tidligere har overført penge til udlandet, er det foregået via Swift. Bankens SMS-system har ikke sikret ham.

Han har ikke fået forklaring på, hvorfor det ene beløb blev spærret og ikke det større beløb på de 3.636,63 DKK.

Den falske e-mail fra streamingtjeneste S er konstrueret på en sådan måde, så den omgår sikkerhedssystemet. Den er også konstrueret sådan, man ikke kan se, hvor den falske e-mail kommer fra.

Hvis denne svindel ikke kan undgås, må det betyde, at han og sikkert andre, ikke tør bruge et betalingskort med en trækningsret, der overgår det beløb, man reelt mener at skulle betale.

Han har efterfølgende fået at vide, at Visa er et gammeldags kort og ikke er så sikkert som Mastercard. Han er efter episoden blevet rådgivet til at betale med Master Direct. Det ville have været passende, at det var sat i værk, før der skete ” tyveri” fra hans konto. Den rådgivning er givet af andre banker. Banken har ikke optrådt med rettidig omhu ved at gøre opmærksom på at skifte kort til Master Direct og ej heller sendt advarsel mod falske e-mails.

Danske Bank har til støtte for frifindelsespåstanden anført, at transaktionen er korrekt registreret og bogført og hverken ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.

Det fremgår af dokumentation fra såvel banken som MitID, at betalingen blev godkendt med stærk kundeautentifikation i form af MitID, og at godkendelsen skete via klagerens egen iPhone SE mobiltelefon. Det ville have fremgået af dokumentationen fra MitID, hvis en tredjepart havde koblet sig op på kundens MitID-enhed.

Transaktionen blev gennemført ved indtastning af klagerens kortoplysninger, ligesom transaktionen blev autoriseret med klagerens personlige MitID, som er en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, stk. 1, nr. 31, og dermed blev der ved betalingerne anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30. MitID var installeret på klagerens telefon, der var i hans besiddelse på tidspunktet for godkendelse af betalingerne.

Klageren autoriserede selv transaktionen, idet han godkendte denne ved at swipe i MitID. I den forbindelse fik han forevist et skærmbillede, der tydeligt angav beløb og betalingsmodtager. Banken har intet grundlag for at betvivle dokumentationen fra MitID herom.

Klageren har dermed ved groft uforsvarlig adfærd muliggjort betalingerne, hvorfor han hæfter med 8.000 DKK i henhold til betalingslovens § 100, stk. 4.

Der er enighed mellem parterne om, at klageren selv har indtastet sine kortoplysninger og autoriseret med MitID. Klagerens oplysninger om at have godkendt et andet beløb end det, som er blevet trukket, skal ikke tillægges bevismæssig værdi, idet data indhentet direkte fra MitID er troværdige og pålidelige.

Under disse omstændigheder må det anses for godtgjort, at klageren blev forevist et skærmbillede fra MitID med korrekt angivelse af beløb og betalingsmodtager forud for godkendelsen.

Klageren har med al sandsynlighed været udsat for enten phishing eller en adfærd, som må sidestilles hermed, hvilket efter fast ankenævnspraksis, herunder sag 197/2023 af 12. december 2023, og retspraksis, herunder Vestre Landsrets dom gengivet i UfR 2023.979 V, skal føre til, at kunden selv hæfter for 8.000 kr.

Banken har i øvrigt ikke handlet ansvarspådragende.

Til støtte for afvisningspåstanden har banken anført, at klagerens påstand om, at han ikke har noget kendskab til transaktionen, ikke hænger sammen med bankens oplysninger om, at klageren blev præsenteret for både beløbsmodtager og beløb i MitID, som var installeret på klagerens telefon, der var i hans besiddelse på tidspunktet for godkendelsen.

En vurdering af sagen vil derfor kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. vedtægternes § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Danske Bank, hvor han havde en konto med et tilknyttet Visa/dankort -817.

Den 29. januar 2025 blev der gennemført en kortbetaling på 3.636,63 DKK med klagerens Visa/dankort -817, som klageren ikke kan vedkende sig.

Klageren har oplyst, at han modtog en e-mail fra en afsender, der udgav sig for at være streamingtjeneste S, hvori han blev opkrævet betaling for sit abonnement. Han åbnede e-mailen for at foretage indbetalingen på cirka 125 DKK med sit Visa/dankort. Han godkendte beløbet med MitID, hvorefter der kom et blink på skærmen, hvor det ikke var muligt at se en tekst. Derefter kom der et skærmbillede, hvor han skulle godkende beløb med SMS-kontrolnummer, men det modtog han ikke på sin mobiltelefon. Han gentog proceduren, men med samme resultat, hvorefter han opgav.

Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-8469, som var installeret på klagerens iPhone SE mobiltelefon den 20. september 2024, og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 3636,63 DKK til [xxx] fra kort xx1817”.

Banken afviste at godtgøre klageren noget beløb, da hans tab på 3.636,63 DKK var lavere end hans selvrisiko på 8.000 DKK.

Ankenævnet lægger til grund, at kortbetalingen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt kortbetalingen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved kortbetalingen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at kortbetalingen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK  af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Kristian Korfits Nielsen, Kritte Sand Nielsen og Signe Kjørup Carlsson – udtaler:

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 3.636,63 DKK med sit MitID.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID, hvor han fik oplysninger om beløbet og beløbsmodtageren, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Rolf Høymann Olsen og Ann-Marie Faldt Agerlin – udtaler:

Som ovenfor anført finder vi det godtgjort, at betalingen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt kortbetalingen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 3.261,63 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.