Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktioner. Aktivering/indrullering af MitID på svindlers enhed.
| Sagsnummer: | 471/2023 |
| Dato: | 31-05-2024 |
| Ankenævn: | Helle Korsgaard Lund-Andersen, Inge Kramer, Andreas Moll Årsnes, Rolf Høymann Olsen og Jørn Ravn. |
| Klageemne: |
Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktioner. Aktivering/indrullering af MitID på svindlers enhed. |
| Indklagede: | Danske Andelskassers Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktioner. Aktivering/indrullering af MitID-identifikationsmiddel på svindlerens enhed.
Sagens omstændigheder
Klageren var kunde i Danske Andelskassers Bank, hvor han havde et betalingskort -890.
Den 23. april 2023 blev der foretaget to korttransaktioner på hver 302,80 EUR (euro) og 125 GBP (britiske pund) svarende til 3.348,91 DKK til to udenlandske betalingsmodtagere F og M, som klageren ikke kan vedkende sig.
Klageren har oplyst, at han den 23. april 2023 foretog et køb af en pakkelabel via et link, som tredjemand sendte til ham i forbindelse med et køb på DBA, og at han i den forbindelse godkendte et køb på 42 DKK i MitID. Klageren har oplyst, at det efterfølgende viste sig, at han i stedet for at godkende et køb godkendte ændringen af et mobiltelefonnummer til SMS-bekræftelse.
Klageren har fremlagt et skærmbillede over modtagne SMS-meddelelser fra bankens InfoService, hvoraf blandt andet fremgår, at klageren den 23. april 2023 kl. 20.50 modtog en SMS med indholdet:
”Mobilnr til Sms-bekræftelse er ændret til [-966]. Er det IKKE dit nr, så kontakt Nets +4544892929 og spær din netbank. Vh Danske Andelskassers Bank A/S”
Klageren har oplyst, at han blev bevidst om svindlen 10-15 minutter efter godkendelsen, da han modtog en SMS om, at hans telefonnummer til bekræftelse var ændret. Da han ikke havde ændret sit telefonnummer, tjekkede han sine konti, hvor han konstaterede, at der var foretaget to køb på i alt 3.348,91 kr.
Banken har fremlagt en udskrift af klagerens MitID-portal, hvoraf fremgår, at klageren den 23. april 2023 havde to MitID-identifikationsmidler aktiveret. Det ene MitID-identifikationsmiddel -767 var aktiveret den 28. marts 2022 på en iPhone 8 og det andet MitID-identifikationsmiddel -202 var aktiveret den 13. maj 2022 på en iPhone 14,6 (iPhone SE). Af udskriften fremgår herudover, at et tredje MitID-identifikationsmiddel -564 blev aktiveret den 23. april 2023 kl. 20:22.
Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf blandt andet fremgår:
”
|
… |
… |
… |
|
23-04-2023 20:31:00 … |
App – ny MitID app aktiveret |
Kritisk |
|
23-04-2023 20:30:54 … |
Midlertidig PIN-kode – til MitID app valideret |
Information |
|
23-04-2023 20:30:37 … |
Midlertidig PIN-kode – til MitID app sendt på SMS |
Information |
|
23-04-2023 20:30:36 … |
Oplysninger – ændret for MitID bruger |
Kritisk |
|
23-04-2023 20:30:36 … |
Oplysninger – mobilnummer tilknyttet MitID bruger |
Information |
|
23-04-2023 20:30:36 … |
Oplysninger – ændret for MitID bruger |
Kritisk |
|
23-04-2023 20:30:09 … |
Oplysninger – valideringskode sendt på SMS |
Kritisk |
|
23-04-2023 20:22:44 … |
Godkendelse – logget på med MitID |
Information |
|
23-04-2023 20:22:44 … |
App – autentificering lykkedes |
Information |
|
23-04-2023 20:22:43 … |
Midlertidig PIN-kode – til MitID app sendt på SMS |
Information |
|
23-04-2023 20:22:40 … |
Aktiveringskode – til MitID app valideret |
Kritisk |
|
23-04-2023 20:22:18 … |
Godkendelse – indtastet bruger-ID |
Information |
|
23-04-2023 20:22:01 … |
Aktiveringskode – til ny MitID app oprettet |
Kritisk |
|
23-04-2023 20:21:58 … |
App – autentificering lykkedes |
Information |
|
23-04-2023 20:21:53 … |
Godkendelse – logget på med MitID |
Information |
|
23-04-2023 20:21:52 … |
App – autentificering lykkedes |
Information |
|
23-04-2023 20:21:37 … |
Godkendelse – indtastet bruger-ID |
Information |
|
23-04-2023 20:21:37 … |
App – autentificering lykkedes |
Information |
|
23-04-2023 18:17:32 … |
Oplysninger – MitID bruger tildelt adgang til at ændre oplysninger i MitID profil |
Kritisk |
|
23-04-2023 17:17:20 … |
Oplysninger – MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil |
Kritisk |
|
23-04-2023 17:17:01 … |
Godkendelse – logget på med MitID |
Information |
|
23-04-2023 17:17:01 … |
App – autentificering lykkedes |
Information |
|
23-04-2023 17:16:55 … |
Godkendelse – indtastet bruger-ID |
Information |
”
Banken har anført, at det ikke er muligt at oprette et nyt MitID-identifikationsmiddel uden brug af et eksisterende MitID-identifikationsmiddel. Banken har endvidere anført, at et af klagerens eksisterende MitID-identifikationsmidler blev anvendt til at aktivere MitID-identifikationsmiddel -564. Aktivering sker ved, at man logger ind på MitID med sit MitID, anmoder om en aktiveringskode, som sendes til et telefonnummer, banken har registreret, venter en time, logger på MitID med sit MitID, indtaster aktiveringskoden og færdiggør opsætningen på den nye enhed. Efter aktiveringen af MitID-identifikationsmiddel kan man anvende dette til at godkende korttransaktioner.
Banken har fremlagt en e-mailkorrespondance med Nets, hvoraf fremgår, at de ikke-vedkendte korttransaktioner af 23. april 2023 blev valideret med mitid.code_app, at MitID-teksten ved begge betalinger indeholdt oplysninger om beløbet, beløbsmodtageren, at betalingskort -890 blev anvendt til at foretage betalingerne, og at det registrerede mobilnummer var klagerens telefonnummer -812.
Klageren har fremlagt en meddelelse i netbank fra banken, hvoraf fremgår, at hans betalingskort -890 var blevet spærret grundet ændret forbrugsmønster, og at han kunne få genåbnet sit betalingskort, hvis der var tale om korrekte transaktioner.
Parternes påstande
Den 3. august 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Andelskassers Bank skal godtgøre ham 3.348,91 DKK.
Danske Andelskassers Bank har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at han straks efter konstateringen af svindlen tjekkede sine konti og kontaktede MitID og Nets for at sikre sig, at svindlen ikke kunne fortsætte. Han hindrede derved, at endnu et køb kunne blive foretaget. Han har opfyldt sine forpligtelser efter betalingslovens § 93.
Han har under ingen omstændigheder handlet groft uforsvarligt. Han har godkendt et køb af en pakkelabel til 42 DKK i MitID i god tro, hvilket er helt almindelig praksis. I virkeligheden godkendte han, at svindleren kunne ændre telefonnummeret til SMS-bekræftelse. Han blev narret til dette. Han anerkender ikke, at han herved har handlet groft uforsvarligt.
Banken burde ikke have gennemført købene, da købene er foretaget i England, og banken selv har vurderet, at betalingerne var mistænksomme. Banken har ved tidligere lejligheder, hvor han købte ting i udlandet, skrevet til ham om, at købet virkede mistænkeligt, hvorfor banken låste pengene, indtil han havde godkendt at have foretaget købene.
Banken forstår ikke, hvad klagen handler om. Han har ikke godkendt købene på i alt 3.348,91 DKK. Disse beløb er godkendt af en svindler, der har hacket hans MitID og derved været i stand til at godkende købene via telefonnummer -966. Den tilladte godkendelsesdevice blev ændret kl. 20:31, hvilket var seks minutter, inden købene blev foretaget. Han modtog kl. 20:50 en SMS om, at hans telefonnummer var blevet ændret. Han har derfor reageret inden for otte minutter efter, han blev gjort opmærksom på svindlen.
Han er lægmand. Han er ikke en programmør, hacker eller ekspert i IT-sikkerhed. Han kan ikke svare på, hvordan svindlen er foregået. Han havde alene godkendt et køb af en pakkelabel på 42 DKK til DAO, som han troede var korrekt og ikke havde grund til at antage var svindel. Købet af pakkelabelen er aldrig blevet trukket på hans konto og han har aldrig modtaget pakkelabelen. Ingen har haft adgang til hans kode til MitID, hans pas og han har ikke anmodet om at modtage en aktiveringskode til MitID.
Danske Andelskassers Bank har anført, at oprettelse af MitID på en anden enhed kræver klagerens pas eller en aktiveringskode, som kun kan rekvireres ved at logge ind med et eksisterende MitID på www.mitid.dk af to omgange. Klageren skal godkende dette i MitID.
3D Secure-autentifikationen blev ifølge Nets sendt til telefonnummer -812, der ubestridt er klagerens telefonnummer. Dermed blev klagerens telefonnummer ikke ændret i MitID-profilen. Transaktionerne er godkendt på den telefon, der tilhører klageren.
Klageren har fremlagt udskrift fra SMS på hans telefon, der viser, at hans SMS-bekræftelse er ændret til -966. Dette har ingen relation til MitID, men er en SMS-bekræftelse, der er initieret fra klagerens netbank eller mobilbank. SMS-bekræftelsen skal anvendes i forbindelse med kortbetalinger. Ved ændring af nummer til SMS-bekræftelse, fremsendes der en firecifret kode til det nye telefonnummer. Denne kode skal indtastes i netbank eller mobilbanken, før det nye nummer virker til SMS-bekræftelse. Efter indtastning af den firecifrede kode, vil der gå to dage, før det nye nummer kan bruges til SMS-bekræftelse i forbindelse med kortbetaling. SMS-bekræftelsen har intet at gøre med de bestridte transaktioner.
Købene blev valideret med klagerens MitID (3D Secure). I forbindelse med valideringen i MitID blev køberen præsenteret for beløbet, beløbsmodtageren og hvilket betalingskort, der blev anvendt.
Klageren godkendte transaktionerne til ukendte betalingsmodtagere og til trods for den præsenterede tekst. Klageren har ikke været opmærksom nok på, hvem han overførte penge til. Klageren har herved handlet groft uforsvarligt, jf. betalingslovens § 100, stk. 4, nr. 3, hvorfor banken ikke er forpligtet til at godtgøre ham de ikke-vedkendte betalinger.
Den kan ikke afvise, at klagerens MitID er blevet installeret på en enhed, der ikke tilhører klageren. Klageren har medvirket hertil. Aktiveringen på svindlerens enhed er sket ved anvendelse af en aktiveringskode. Klageren har godkendt, at svindleren kunne logge på klagerens MitID to gange med en times mellemrum. Først for at rekvirere koden og dernæst en time efter for at hente koden ned til svindlerens enhed. Herefter har svindleren kunnet godkende de omtvistede beløb på sin enhed. Klageren har muliggjort, at misbruget kunne ske, da klageren ikke læste teksten i sin MitID ordentligt, før han godkendte i MitID. Forholdet er omfattet af betalingslovens § 100, stk. 4, nr. 3.
Det er bankens opfattelse, at faktum i sagen ganske enkelt ikke kan være som beskrevet af klageren.
Ankenævnets bemærkninger
Den 23. april 2023 blev der med klagerens betalingskort -890, som var udstedt af Danske Andelskassers Bank, foretaget to korttransaktioner på hver 302,80 EUR (euro) og 125 GBP (britiske pund) svarende til 3.348,91 DKK til to udenlandske betalingsmodtagere F og M, som klageren ikke kan vedkende sig.
Banken har fremlagt en udskrift af klagerens MitID-portal, hvoraf fremgår, at klageren den 23. april 2023 havde to MitID-identifikationsmidler aktiveret. Det ene MitID-identifikationsmiddel -767 blev aktiveret den 28. marts 2022 på en iPhone 8 og det andet MitID-identifikationsmiddel -202 blev aktiveret den 13. maj 2022 på en iPhone 14,6 (iPhone SE). Af udskriften fremgår herudover, at et tredje MitID-identifikationsmiddel -564 blev aktiveret den 23. april 2023 kl. 20:22.
Banken har fremlagt en e-mailkorrespondance med Nets, hvoraf fremgår, at de ikke-vedkendte korttransaktioner af 23. april 2023 blev valideret med mitid.code_app, at MitID-teksten ved begge betalinger indeholdt oplysninger om beløbet, beløbsmodtageren, at betalingskort -890 blev anvendt til at foretage betalingerne, og at det registrerede mobilnummer var klagerens telefonnummer -812.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket heller ikke er bestridt.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Banken har anført, at klageren enten selv har godkendt de ikke-vedkendte betalinger, eller at klageren har medvirket til aktiveringen af et MitID-identifikationsmiddel på svindlerens enhed, hvorefter svindleren har kunnet godkende de omtvistede transaktioner. Klageren har anført, at han ikke har godkendt de ikke-vedkendte betalinger, at han alene har godkendt købet af en pakkelabel til 42 DKK, og at han ikke har godkendt aktiveringen af MitID på en anden enhed.
Ankenævnet finder, at en afklaring af de nærmere omstændigheder omkring forløbet, herunder godkendelsen af betalingerne og aktiveringen af klagerens MitID på tredjemands enhed, forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.