Indsigelse mod at hæfte for 8.000 kroner af korttransaktioner godkendt i NemID-nøgleapp

Sagsnummer:137/2022
Dato:15-11-2022
Ankenævn:Vibeke Rønne, Inge Kramer, Kritte Sand Nielsen, Tina Thygesen, Lisbeth Baastrup Burgaard.
Klageemne:Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - groft uforsvarlig adfærd
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod at hæfte for 8.000 kroner af korttransaktioner godkendt i NemID-nøgleapp
Indklagede:Jyske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod korttransaktioner, som klageren ikke kan vedkende sig.

Sagens omstændigheder

Klageren var kunde i Jyske Bank, hvor hun havde en konto med tilhørende betalingskort.

Banken har oplyst, at klageren den 27. november 2019 installerede en NemID-nøgleapp med serienummer -387 på en iOS enhed, model iPhone X, iOS kendenavn ”[Klagerens] iPhone” og anvendte nøgleappen til at godkende betalinger.

Af et skærmprint fra Nets’ system fremgik, at klagerens NemID-nøgleapp med serienummer -387 den 9. februar 2022 blev brugt til godkendelse af en transaktion.

Den 14. februar 2022, kl. 10:46:54 og 10:50:24 blev klagerens betalingskort anvendt til to betalinger på hver 7.222 kr. til et udenlandsk rejseselskab, RS, som klageren ikke kan vedkende sig.

Af hændelsesloggen fra NemID fremgik, at der ved den første betaling den 14. februar 2022 kl. 10:46:54 automatisk blev accepteret ny hardware i betalingssystemerne. Banken har oplyst, at dette betød, at der blev brugt en ny enhed til at foretage betalingerne på RS’ hjemmeside. På denne enhed blev der logget på ved indtastning af brugernavn og password. Det fremgik af et udklip fra NemID-portalen, at den anvendte browser var Mozilla, at det anvendte styresystem var Windows NT 6.3 og at den registrerede IP-adresse var -.57. Banken har oplyst, at den, der foretog betalingerne, enten befandt sig fysisk i Frankrig eller via en VPN-løsning fremstod som at befinde sig i Frankrig. Banken har endvidere oplyst, at da NemID-nøgleappen, som købet blev godkendt med, ikke sendte informationer om sin IP-adresse til systemerne, fremgik den franske IP-adresse gennem hele betalingsforløbet.

Det fremgik af Nets’ autentifikationsportal, at der i forbindelse med godkendelsen og umiddelbart forinden godkendelsen med NemID fremgik følgende tekst i NemID-appen:

”Betal 7222,00 DKK til [WWW.RS.DK] fra kort xx4369”.

Banken har oplyst, at betalingerne blev gennemført ved brug af kortnummer, udløbsdato, CVC kode samt 3D Secure godkendelsestekst sendt til NemID-nøgleapp med serienummer -387, kendenavn ”[Klagerens] iPhone”.

Klageren har oplyst, at hun opdagede betalingerne den 16. februar 2022. Klageren spærrede straks sin konto og gjorde indsigelse til Jyske Bank, da hun ikke kunne vedkende sig betalingerne.  

Banken svarede den 22. februar 2022, at den forstod, at klageren mente, at hun ikke tidligere havde købt/bestilt rejse via RS, og at der var tale om betalinger, som hun ikke selv havde godkendt. Betalingerne var dog gennemført med en to-faktor godkendelse, hvor klageren med sit kort, NemID og NemID-nøgleapp havde godkendt transaktionerne.

Klageren svarede samme dag, at hun ikke kendte RS og aldrig havde købt noget derfra. Hun havde kontaktet RS, men havde ikke modtaget svar. Hun synes, at det var foruroligende og skræmmende, at hendes kort, NemID og NemID-nøgleapp var blevet anvendt til at godkende transaktionerne. Hun havde en iPhone X og ville ændre sin adgangskode til NemID.  

Banken anmodede den 14. marts 2022 klageren om at besvare en række spørgsmål:

”…

Hvordan har du opbevaret dit fysiske nøglekort?

Har andre haft kendskab til dit brugernavn og kodeord til NemID?

Har andre kendskab til din kode for at låse din telefon op?

Har du oplevet at du har godkendt noget med NemID som virkede mistænksomt eller underligt?

...”

Klageren svarede samme dag, at hendes fysiske nøglekort lå gemt i hendes hjem, mens hun var i sommerhus. Ingen havde adgang til hendes brugernavn eller kodeord til NemID, heller ikke hendes familie. Ingen var bekendt med hendes kode til telefonen, da det kun var hende, som brugte den. Hun havde ikke godkendt noget med NemID, som virkede mistænkeligt eller underligt.  

På baggrund af klagerens indsigelse godtgjorde Jyske Bank hendes tab med fradrag af 8.000 kr.

Parternes påstande

Den 7. april 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal godtgøre hende begge transaktioner og dermed tilbagebetale hende 8.000 kr.

Jyske Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun ikke har godkendt betalingerne den 14. februar 2022, og at hun har været udsat for svindel. Hun anvendte ikke sin NemID-app eller sin netbank den 14. februar 2022, hvor hun var på vinterferie i sit sommerhus.

Hun opdagede først den 16. februar 2022, at der var trukket to betalinger på hver 7.222 kr. på hendes konto, hvorefter hun straks spærrede sin konto og kontaktede RS. RS afviste at give hende oplysninger om købene, da RS kun ville udlevere disse til banken eller politiet. Hun anmeldte hændelsen til politiet. Hun undrer sig over, at banken ikke har kontaktet RS, da den har haft rig mulighed herfor.

Hun kendte ikke RS og har aldrig købt noget hos RS. Hun ville aldrig betale et så stort beløb to gange til en modtager, som hun ikke kendte.

Hun var blevet hacket, og det var hackeren der iværksatte og godkendte betalingerne via NemID. Alle tidligere betalinger, der var anerkendt og godkendt af hende skete fra danske IP-adresser, den anvendte browser var Google Chrome og styresystemet var Windows 10. Det fremgår af en hændelseslog fra NemID, at der den 14. februar 2022 automatisk var accepteret ny hardware, at IP-adressen var registreret i Frankrig, at den anvendte browser var Firefox, og at styresystemet var Windows NT 6.3.

Det er urimeligt, at banken påstår, at hun har godkendt beløbene. Hun har aldrig swipet godkend eller opført sig groft uforsvarligt. Hendes fysiske nøglekort lå gemt i hendes hjem, mens hun var i sommerhus. Ingen kendte til eller havde adgang til hendes brugernavn eller kodeord til NemID, heller ikke hendes familie. Ingen var bekendt med hendes kode til telefonen, da det kun var hende, der brugte den, og hun havde heller aldrig godkendt noget med NemID, som virkede mistænkeligt. En egenbetaling på 8.000 kr. er ikke rimelig, når hun ikke havde gjort noget forkert.

Jyske Bank har anført, at betalingerne var godkendt med stærk kundeautentifikation. Klagerens betalingskort var anvendt, og betalingerne var iværksat med NemID ved indtastning af brugernavn og kode og herefter godkendt via NemID-nøgleappen på klagerens telefon. Dette var enten sket af en person, der befandt sig fysisk i Frankrig eller via en VPN-løsning, der fremstod som værende i Frankrig.

Betalingerne er godkendt med NemID-nøgleappen med serienummeret -387, som er den samme NemID-nøgleapp, der er installeret på klagerens telefon, en iPhone X med kendenavnet ”[Klagers] iPhone”, og som tidligere er brugt til andre transaktioner, som klageren ikke har gjort indsigelse mod. Klagerens betalingskort og telefon har ifølge klageren ikke været ude af hendes besiddelse.

Bankens IT-specialister har oplyst, at det dem bekendt ikke er muligt at godkende i NemID-nøgleappen på andre måder end ved at swipe på den telefon, som appen er installeret på.

Klageren modtog to godkendelsestekster på telefonen. Beløbene og modtageren fremgik af godkendelsesteksterne. Klageren swipede ”Godkend” til de to betalinger via NemID-nøgleappen på telefonen. Ved at swipe ”Godkend” til godkendelsesteksterne har klageren ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse af hendes betalingskort, hvilket hun hæfter med 8.000 kr. for.

Ankenævnets bemærkninger

Den 14. februar 2022, kl. 10:46:54 og 10:50:24 blev klagerens betalingskort anvendt til to betalinger til et udenlandsk rejseselskab, RS, på i alt 14.444 kr., som klageren ikke kan vedkende sig.

Jyske Bank har tilbagebetalt 6.444 kr. til klageren, svarende til det ikke vedkendte beløb på 14.444 kr. fratrukket 8.000 kr., jf. betalingslovens § 100, stk. 4, stk. 3.

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens NemID er en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. § 100, stk. 4, nr. 3.

Banken har anført, at betalingerne på i alt 14.444 kr. til RS blev foretaget af klageren, idet betalingerne blev gennemført ved brug af kortnummer, udløbsdato, CVC kode samt 3D Secure godkendelsestekst sendt til klagerens NemID-nøgleapp med serienummer -387, kendenavn ”[Klagerens] iPhone”, sammenholdt med, at klageren har oplyst, at hendes betalingskort og telefon ikke havde været ude af hendes besiddelse. Klageren har bestridt, at hun har foretaget betalingerne. Hun er blevet hacket, og hackeren har kunnet godkende beløbene på hendes telefon og med hendes NemID.

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug, herunder om der er tale om misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 kroner af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse herunder i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.