Indsigelse mod at hæfte for 8.000 DKK af korttransaktioner. Aktivering/indrullering af MitID-app på svindlers enhed.

Sagsnummer:726/2023
Dato:30-08-2024
Ankenævn:Helle Korsgaard Lund-Andersen, Inge Kramer, Karin Sønderbæk, Morten Bruun Pedersen og Elizabeth Bonde.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for 8.000 DKK af korttransaktioner. Aktivering/indrullering af MitID-app på svindlers enhed.
Indklagede:Nordea Danmark, filial af Nordea Bank Abp, Finland
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktioner. Aktivering/indrulllering af MitID-app på svindlers enhed.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun havde en konto med et tilknyttet Nordea Pay.

Den 1. november 2023 kl. 10:11 blev der foretaget en korttransaktion på 209 DKK med klagerens betalingskort.

Endvidere blev der den 1. november 2023 i perioden fra kl. 20:06 til kl. 20:50 foretaget fire korttransaktioner med klagerens betalingskort, som hun ikke kan vedkende sig. Der var tale om en korttransaktion på 1.500 GBP svarende til 12.933,37 DKK til en udenlandsk betalingsmodtager F og tre korttransaktioner på henholdsvis 900 DKK, 1.100 DKK og 1.100 DKK til en udenlandsk betalingsmodtager F1. Af en transaktionsliste fra Nets fremgår, at korttransaktionerne blev godkendt med 3D Secure.

Den 3. november 2023 blev de fem korttransaktioner trukket på klagerens konto med i alt 16.242,37 DKK (hvoraf beløbet for de fire korttransaktioner foretaget den 1. november 2023 i perioden fra kl. 20:06 til kl. 20:50 udgjorde 16.033,37 DKK). Klageren gjorde herefter indsigelse mod alle fem transaktioner foretaget den 1. november 2023 over for banken. Hun anførte følgende om hændelsesforløbet i indsigelsen:

”Jeg blev ringet op af en person fra Nordeas telefonnummer. Han udgav sig for at være medarbejder i banken, og sagde at der var nogen der havde hævet penge på min konto. Han fik mig overtalt til at ændre min Minid profil, og fik på den måde mulighed for at tømme min konto”

Banken godtgjorde klagerens tab fratrukket 8.000 DKK og indsatte 8.242,37 DKK på klagerens konto.

Herefter klagede klageren til banken over afgørelsen.

Ved en mail af 20. november 2023 til klageren fastholdt banken sin afgørelse. Af mailen fremgik blandt andet:

”Hej [klagerens navn] Efter at have gennemgået din klage kan jeg konstatere, at afgørelsen i indsigelsessag [j.nr] er korrekt og i overensstemmelse med Nordeas praksis på området. Det er derfor min vurdering, at til trods for din svære situation, er der ikke er grundlag for at imødekomme dit ønske om kompensation. I min vurdering lægger jeg - ligesom afdelingen for indsigelser - vægt på, at du har godkendt at din MitID nøgle app blev installeret på en anden enhed end din egen.

Herefter havde svindleren fået installeret dit MitID på sin egen enhed, hvorfra de fire betalinger blev godkendt samme dag i tidsrummet kl. 20.06 – 20.50. Når det er tilfældet så hæfter du med en selvrisiko på 8.000 kr. Du kan læse mere om hæftelse og selvrisiko i Regler for Nordea Pay, på vores hjemmeside [link] - hvor du under punkt 10.1.2. ”Hæftelse og selvrisiko” kan læse om hæftelse og selvrisiko. Beløbet på 8.000 kr. er ikke fastsat af Nordea, men er en del af betalingslovens § 100 stk. 4. Disse regler blev der henvist til da du fik dit kort. Oplysninger vedr. MitID fremgår hvis du logger på mitid.dk, og kigger på ”Seneste aktiviteter”. Har du brug for hjælp til at få forklaret hvad der står, vil jeg anbefale at du kontakter MitID Support. …”

Banken har oplyst, at der den 1. november 2023 blev aktiveret en ny MitID-app -4310 på en fremmed enhed, som blev godkendt med klagerens MitID-app -0492.

Banken har fremlagt en oversigt over de generiske, men ufravigelige tekster, der fremkommer ved indrullering af en ny MitID-app:

Kundens deltagelse

Godkendelse i MitID-app

Godkendelse i MItID-app

Brugernavn til MitID udleveres af kunden

Kunden godkender 2 gange i egen MitID-app

 

 

 

  1. swipe for teksten

Log på hos MItID.dk for at se eller ændre i din MitID profil

Besked i MitID-app til kunden samt SMS:

Du har bedt om adgang til at ændre oplysninger på MitID.dk og kan logge på om 1 time.

Har du ikke bedt om adgang ? Ring til MitID support på +45 33980010.

Efter 1 time:

Besked i MitID-app til kunden samt SMS

Du har nu adgang til at logge på MitID.dk og ændre oplysninger i 24 timer.

 Har du ikke bedt om adgang ? Ring til MitID support på +45 33980010.

  1. swipe for teksten

Log på hos MItID.dk for at se eller ændre i din MitID profil

Besked til kunden via SMS:

Midlertidig PIN-kode til MitID app: xx xx xx xx (Nummer)

VIGTIGT: Del aldrig denne kode med andre. Heller ikke med en som påstår at komme fra banken eller support.

Udleveres af kunden

 

Banken har fremlagt en udskrift af klagerens MitID-hændelseslog med bankens kommentarer, hvoraf fremgår, at klagerens MitID havde et aktivt identifikationsmiddel med nummer -0492, der blev aktiveret den 2. december 2021, samt at hendes egen enhed var en iPhone 7. Ligeledes fremgår det, at der med samme identifikationsmiddel blev foretaget flere handlinger:

Kunden swiper og åbner op for ændringer af MitID-oplysninger kl. 18.37

 

 

01-11-2023 18:37:06.701 CET

Oplysninger – MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil

Kritisk

01-11-2023 18:34:32.569 CET

Godkendelse – logget på med MitID

Information

01-11-2023 18:34:32.242 CET

App-autentificering lykkedes

Information

Kunden swiper herefter igen ”godkend” kl. 19.37, som giver svindler adgang til at ændre i MitID

 

 

01-11-2023 19:37:31.793 CET

Oplysninger – MitID bruger tildelt adgang til at ændre oplysninger i MitID profil

Kritisk

01-11-2023 18:45:45.330 CET

Godkendelse – logget på med MitID

Information

01-11-2023 18:45:44.934 CET

App-autentificering lykkedes

Information

MitID app bliver herefter hentet ned på tredjemands telefon. Den udleverede pinkode fra kunden indtastes af tredjemand i den nye MitID app for aktivering

 

 

01-11-2023 19:48:10.746 CET

Midlertidig PIN-kode til MitID app valideret

Information

01-11-2023 19:47:43.591 CET

Midlertidig PIN-kode til MitID app sendt på SMS

Information

Ny MitID app nummer -4310 nu installeret og aktiveret på svindleres telefon

 

 

01-11-2023 19:48:18.753 CET

App – ny MitID app aktiveret

Kritisk

Parternes påstande

Den 23. maj 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal betale 8.000 DKK.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun godt er klar over, at hun har begået en kæmpe fejl, og at hun selv har været med til at blive svindlet, men hun kunne ikke gennemskue nummeret. Alligevel er det ikke rimeligt, at hun skal straffes med en selvrisiko på 8.000 DKK.

Hun er enlig forsørger på kontanthjælp og er meget dårligt stillet økonomisk. Hun er mor til fem børn og lider desuden af en psykisk sygdom, som gør det svært for hende at gennemskue mennesker - i dette tilfælde en svindler, som virkede meget overbevisende. Siden hendes penge blev stjålet, har det været meget svært for hende at få økonomien til at hænge sammen.

De 16.000 DKK, som blev svindlet, havde hun lånt af sin mor, som er folkepensionist, til at kunne betale en gæld (huslejerestance). Den kunne hun herefter ikke betale, og nu er hun i klemme, idet hun hverken har råd til at betale den husleje tilbage, som hun skylder, eller sin gamle mor.

Hun er en lille ubetydelig bankkunde, og de 8.000 DKK gør en verden til forskel for hende.

Nordea Danmark har anført, at de omhandlede betalingstransaktioner blev korrekt registreret og bogført og ikke var ramt af tekniske svigt eller andre fejl.

Klagerens Nordea Pay blev brugt af tredjemand efter brug af den af klageren udleverede midlertidige adgangskode. Det kunne alene ske ved, at klageren gennem sin MitID-app godkendte indrulleringen af sit MitID på tredjemands enhed.

Det må lægges til grund, at klageren blev præsenteret for følgende tekster, idet dette er systemunderstøttet: ”Du har bedt om adgang til at ændre oplysninger på MitID.dk og kan logge på om 1 time. Har du ikke bedt om adgang? Ring til MitID support på +45 33980010.” og ”Du har nu adgang til at logge på MitID.dk og ændre oplysninger i 24 timer. Har du ikke bedt om adgang? Ring til MitID support på +45 33980010”.

Klageren godkendte via MitID-app indrullering af sit MitID på tredjemands enhed. Hun blev i godkendelsesbeskederne i MitID-appen tydeligt gjort opmærksom på, at det angik ændringer i hendes MitID og MitID profil, og klageren fik herefter udleveret en midlertidig pinkode med tydelig besked om, at koden ikke måtte videregives: ”Midlertidig PIN-kode til MitID app: xx xx xx xx (Nummer) VIGTIGT: Del aldrig denne kode med andre. Heller ikke med en som påstår at komme fra banken eller support.”

Trods disse tydelige angivelser om, hvad klageren var ved at godkende, valgte hun at swipe til godkendelse heraf. Og med godkendelsen fulgte, at hendes Nordea Pay nu var brugtbart på tredjemands enhed som følge af (1) klagers videregivelse af oplysninger herom (2) indrullering af klagerens MitID på tredjemands enhed og (3) udlevering af midlertidig pinkode til klagerens MitID.

Det bør fremhæves, at transaktionerne ikke ville være blevet gennemført, hvis klageren alene havde udleveret af oplysninger om sit Nordea Pay som følge af Nordeas sikkerhedsforanstaltninger. Dette krævede, at klageren både godkendte ændring af MitID samt videregav den midlertidige PIN-kode til tredjemand.

At klageren valgte at overgive sine Nordea Pay oplysninger, godkende de meddelelser, som hun blev præsenteret for i MitID-appen, samt at udlevere oplysning om midlertidig pinkode til sit MitID, er at betragte som groft uforsvarlig adfærd, hvorfor banken var berettiget til at tage 8.000 DKK i selvrisiko, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnets bemærkninger

Klageren var kunde i Nordea Danmark, hvor hun havde en konto med et tilknyttet Nordea Pay.

Den 1. november 2023 blev der i perioden fra kl. 20:06 til kl. 20:50 foretaget fire korttransaktioner med klagerens betalingskort, som hun ikke kan vedkende sig. Der var tale om en korttransaktion på 1.500 GBP svarende til 12.933,37 DKK til en udenlandsk betalingsmodtager F og tre korttransaktioner på henholdsvis 900 DKK, 1.100 DKK og 1.100 DKK til en udenlandsk betalingsmodtager F1.

Banken godtgjorde klagerens tab fratrukket 8.000 DKK.

Klageren har anført, at hun blev ringet op af en person fra Nordeas telefonnummer. Han udgav sig for at være medarbejder i banken og sagde, at der var nogen, der havde hævet penge på hendes konto. Han fik hende overtalt til at ændre hendes Mit- ID-profil og fik på den måde mulighed for at tømme hendes konto.

Banken har anført, at klageren med sin MitID-app den 1. november 2023 godkendte installation af en ny MitID-app på en fremmed enhed, hvorfra betalingerne blev godkendt. Det forhold at klageren valgte at overgive sine Nordea Pay oplysninger, godkende de meddelelser, som hun blev præsenteret for i MitID-appen, samt at udlevere oplysning om midlertidig pinkode til sit MitID trods tydelig besked om, at denne aldrig måtte blive delt, er at betragte som groft uforsvarlig adfærd, hvorfor banken var berettiget til at tage 8.000 DKK i selvrisiko, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautenti-fikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket heller ikke er bestridt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Helle Korsgaard Lund-Andersen, Inge Kramer og Karin Sønderbæk – udtaler:

Vi lægger til grund, at klageren har videregivet sine betalingskort- og MitID-oplysninger til tredjemand. Vi finder herefter, at det må lægges til grund, at klageren den 1. november 2023 har godkendt aktiveringen af en ny MitID-app på tredjemands enhed i sin MitID-app, hvorved en svindler har kunnet foretage de omtvistede betalinger.

Vi finder, at banken har godtgjort, at klageren derved ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. Klageren skal som følge heraf hæfte med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Elizabeth Bonde – udtaler:

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren ved at blive snydt af en professionel svindler har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have handlet som sket.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, der muliggør misbruget.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3. 

Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren. 

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.